Nežinoma kinų APT taiko Rusiją naudodama „PortDoor“ kenkėjišką programą

Pažangių nuolatinių grėsmių (angl. Advanced Persistent Threat - APT) veikėjai tęsia atakas prieš aukšto lygio taikinius. Šį kartą naujienų antraštėse minima nauja kenkėjiška programa, identifikuojama kaip „PortDoor“. Manoma, kad jį naudoja ir plėtoja Kinijoje veikiantis APT veikėjas, ir iki šiol jis buvo naudojamas atakoms prieš kelis Rusijos sektorius, iš kurių labiausiai pastebimas yra gynybos sektorius. Vienas iš taikinių buvo „Rubin Design Bureau“ - į aukšto rango darbuotojus buvo kreiptasi per elektroninius el. Laiškus, kuriuose buvo piktavališkai sukurtas RTF dokumentas. Kaip ir kiti Kinijoje veikiantys grėsmių veikėjai, šie taip pat remiasi „RoyalRoad RTF“ kūrimo įrankiu.

„PortDoor“ kenkėjiškos programos funkcijos nėra labai įspūdingos, tačiau ši kenkėjiška programa spindi kitais dalykais - panašu, kad jos kūrėjai pabrėžė slaptą dizainą, kuris leidžia grėsmei bandyti nuslėpti jos buvimą ir veiklą. Grėsmė gali nustatyti populiarią virtualią aplinką ir sustabdyti jos vykdymą, todėl apsunkinti kenkėjiškų programų atskleidimą.

„PortDoor“ kenkėjiška programa orientuota į šnipinėjimą. Jos operatoriai gali naudotis šiomis funkcijomis:

  • Išvardinkite visus vykstančius procesus.
  • Tvarkykite failų sistemą.
  • Perskaitykite disko skaidinio informaciją.
  • Ieškokite failų.
  • Raskite, užšifruokite ir išfiltruokite duomenis.

Iki šiol „PortDoor Malware“ ataka prieš Rusijos gynybos sektorių nebuvo priskirta konkrečiam Kinijos APT. Tačiau ekspertai pažymi, kad „PortDoor Malware“ ypatybės ir tinklo infrastruktūra sufleruoja, kad su išpuoliu gali būti susiję didelio masto grėsmės veikėjai, tokie kaip TA428 ar „Rancor“.

May 4, 2021

Palikti atsakymą