Un APT chinois inconnu cible la Russie avec le logiciel malveillant PortDoor
Les acteurs de la menace persistante avancée (APT) poursuivent leurs attaques contre des cibles de premier plan. Cette fois, les manchettes de l'actualité mentionnent un nouveau malware identifié comme PortDoor. On pense qu'il est utilisé et développé par un acteur APT basé en Chine et, jusqu'à présent, il a été utilisé dans des attaques contre plusieurs secteurs russes, dont le plus notable est le secteur de la défense. L'une des cibles était le Bureau de conception Rubin - des employés de haut rang étaient contactés par le biais d'e-mails de spear-phishing contenant un document RTF conçu de manière malveillante. Tout comme les autres acteurs de la menace basés en Chine, ceux-ci s'appuient également sur l'utilitaire de construction RoyalRoad RTF.
Les fonctionnalités du Malware PortDoor ne sont pas très spectaculaires, mais ce malware brille par d'autres choses - il semble que ses développeurs aient mis l'accent sur une conception furtive, qui permet à la menace d'essayer de dissimuler sa présence et son activité. La menace est capable d'identifier les environnements virtuels populaires et de cesser son exécution, ce qui rend plus difficile la dissection du malware.
Le logiciel malveillant PortDoor se concentre sur l'espionnage. Ses opérateurs ont accès aux fonctionnalités suivantes:
- Répertoriez tous les processus en cours.
- Gérez le système de fichiers.
- Lisez les informations de partition de disque.
- Recherchez des fichiers.
- Recherchez, cryptez et exfiltrez les données.
Jusqu'à présent, l'attaque de PortDoor Malware contre le secteur de la défense russe n'a pas été attribuée à un APT chinois en particulier. Cependant, les experts notent que les propriétés et l'infrastructure réseau de PortDoor Malware suggèrent que des acteurs de haut niveau comme TA428 ou Rancor pourraient être associés à l'attaque.
