L'APT cinese sconosciuto prende di mira la Russia con il malware PortDoor
Gli attori della minaccia persistente avanzata (APT) continuano con i loro attacchi contro obiettivi di alto profilo. Questa volta, i titoli delle notizie menzionano un nuovo malware identificato come PortDoor. Si ritiene che sia stato utilizzato e sviluppato da un attore APT con sede in Cina e, finora, è stato utilizzato in attacchi contro diversi settori russi, il più notevole dei quali è il settore della difesa. Uno degli obiettivi era il Rubin Design Bureau: i dipendenti di alto rango sono stati contattati tramite e-mail di spear phishing che contenevano un documento RTF pericoloso. Proprio come altri attori delle minacce con sede in Cina, anche questi si affidano all'utilità di creazione di RTF RoyalRoad.
Le caratteristiche del PortDoor Malware non sono molto spettacolari, ma questo malware brilla con altre cose: sembra che i suoi sviluppatori abbiano enfatizzato un design furtivo, che consente alla minaccia di cercare di nascondere la sua presenza e attività. La minaccia è in grado di identificare gli ambienti virtuali più diffusi e interromperne l'esecuzione, rendendo quindi più difficile sezionare il malware.
Il PortDoor Malware si concentra sullo spionaggio. I suoi operatori hanno accesso alle seguenti funzionalità:
- Elenca tutti i processi in esecuzione.
- Gestisci il file system.
- Leggi le informazioni sulla partizione del disco.
- Cerca file.
- Trova, crittografa ed esfiltra i dati.
Finora, l'attacco PortDoor Malware contro il settore della difesa russo non è stato attribuito a un particolare APT cinese. Tuttavia, gli esperti fanno notare che le proprietà e l'infrastruttura di rete di PortDoor Malware suggeriscono che attori di minacce di alto profilo come TA428 o Rancor potrebbero essere associati all'attacco.
