Ismeretlen kínai APT Oroszországot célozza meg a PortDoor Malware segítségével
Az Advanced Persistent Threat (APT) szereplői folytatják támadásaikat a kiemelt célpontok ellen. A hírek ezúttal egy új kártevőt említenek, amelyet PortDoor néven azonosítanak. Úgy gondolják, hogy egy kínai székhelyű APT-szereplő használja és fejleszti, és eddig számos orosz szektor elleni támadásban alkalmazták, amelyek közül a legjelentősebb a védelmi szektor. Az egyik cél a Rubin Design Bureau volt - a magas beosztású alkalmazottakat dárdahalász e-maileken keresztül keresték meg, amelyek rosszindulatúan készített RTF dokumentumot tartalmaztak. Csakúgy, mint más kínai alapú fenyegetési szereplők, ezek is a RoyalRoad RTF builder segédprogramra támaszkodnak.
A PortDoor Malware tulajdonságai nem túl látványosak, de ez a rosszindulatú program ragyog más dolgokban - úgy tűnik, hogy a fejlesztői egy lopakodó kialakítást emeltek ki, amely lehetővé teszi a fenyegetés számára, hogy megpróbálja elrejteni jelenlétét és aktivitását. A fenyegetés képes a népszerű virtuális környezetek azonosítására és a végrehajtás leállítására, ezért megnehezíti a rosszindulatú programok feldarabolását.
A PortDoor Malware a kémkedésre összpontosít. Operátorai a következő szolgáltatásokhoz férhetnek hozzá:
- Sorolja fel az összes futó folyamatot.
- A fájlrendszer kezelése.
- Olvassa el a lemezpartíciókat.
- Fájlok keresése.
- Adatok megkeresése, titkosítása és kiszűrése.
Eddig a PortDoor Malware támadását az orosz védelmi szektor ellen nem egy kínai APT-nek tulajdonították. Szakértők azonban megjegyzik, hogy a PortDoor Malware tulajdonságai és hálózati infrastruktúrája arra utalnak, hogy olyan magas szintű fenyegetett szereplők társulhatnak a támadáshoz, mint a TA428 vagy a Rancor.