Ismeretlen kínai APT Oroszországot célozza meg a PortDoor Malware segítségével

Az Advanced Persistent Threat (APT) szereplői folytatják támadásaikat a kiemelt célpontok ellen. A hírek ezúttal egy új kártevőt említenek, amelyet PortDoor néven azonosítanak. Úgy gondolják, hogy egy kínai székhelyű APT-szereplő használja és fejleszti, és eddig számos orosz szektor elleni támadásban alkalmazták, amelyek közül a legjelentősebb a védelmi szektor. Az egyik cél a Rubin Design Bureau volt - a magas beosztású alkalmazottakat dárdahalász e-maileken keresztül keresték meg, amelyek rosszindulatúan készített RTF dokumentumot tartalmaztak. Csakúgy, mint más kínai alapú fenyegetési szereplők, ezek is a RoyalRoad RTF builder segédprogramra támaszkodnak.

A PortDoor Malware tulajdonságai nem túl látványosak, de ez a rosszindulatú program ragyog más dolgokban - úgy tűnik, hogy a fejlesztői egy lopakodó kialakítást emeltek ki, amely lehetővé teszi a fenyegetés számára, hogy megpróbálja elrejteni jelenlétét és aktivitását. A fenyegetés képes a népszerű virtuális környezetek azonosítására és a végrehajtás leállítására, ezért megnehezíti a rosszindulatú programok feldarabolását.

A PortDoor Malware a kémkedésre összpontosít. Operátorai a következő szolgáltatásokhoz férhetnek hozzá:

  • Sorolja fel az összes futó folyamatot.
  • A fájlrendszer kezelése.
  • Olvassa el a lemezpartíciókat.
  • Fájlok keresése.
  • Adatok megkeresése, titkosítása és kiszűrése.

Eddig a PortDoor Malware támadását az orosz védelmi szektor ellen nem egy kínai APT-nek tulajdonították. Szakértők azonban megjegyzik, hogy a PortDoor Malware tulajdonságai és hálózati infrastruktúrája arra utalnak, hogy olyan magas szintű fenyegetett szereplők társulhatnak a támadáshoz, mint a TA428 vagy a Rancor.

May 4, 2021

Válaszolj