未知の中国のAPTがPortDoorマルウェアでロシアを標的
Advanced Persistent Threat(APT)アクターは、注目を集めるターゲットに対する攻撃を続けます。今回のニュースの見出しでは、PortDoorとして識別される新しいマルウェアについて言及しています。これは、中国を拠点とするAPT攻撃者によって使用および開発されたと考えられており、これまでのところ、いくつかのロシアのセクターに対する攻撃で使用されており、その中で最も注目すべきは防衛セクターです。ターゲットの1つは、Rubin Design Bureauでした。悪意を持って作成されたRTFドキュメントを含むスピアフィッシングメールを通じて、高位の従業員にアプローチしました。他の中国を拠点とする脅威アクターと同様に、これらもRoyalRoadRTFビルダーユーティリティに依存しています。
PortDoorマルウェアの機能はそれほど目を見張るものではありませんが、このマルウェアは他の点で輝いています。開発者はステルス設計を強調しているようです。これにより、脅威はその存在と活動を隠そうとします。この脅威は、人気のある仮想環境を識別してその実行を停止する可能性があるため、マルウェアの分析をより困難にします。
PortDoorマルウェアはスパイ活動に焦点を当てています。そのオペレーターは、次の機能にアクセスできます。
- 実行中のすべてのプロセスを一覧表示します。
- ファイルシステムを管理します。
- ディスクパーティション情報を読み取ります。
- ファイルを検索します。
- データを検索、暗号化、および盗み出します。
これまでのところ、ロシアの防衛部門に対するPortDoorマルウェア攻撃は、特定の中国のAPTに起因するものではありません。ただし、専門家は、PortDoor Malwareのプロパティとネットワークインフラストラクチャが、TA428やRancorなどの著名な脅威アクターが攻撃に関連している可能性があることを示唆していると指摘しています。