Sørøst-Asia regjeringsenheter rettet mot Victory Backdoor

Spesialister på it-sikkerhet har identifisert en ny spionasjekampanje for nettkriminalitet, som retter seg mot diplomatiske og offentlige enheter i Sørøst-Asia. Mens gjerningsmannen for angrepet ennå ikke er identifisert, rapporterer eksperter at de sannsynligvis kommer fra Kina med tanke på typen enheter de målretter mot, samt det faktum at de har brukt RoyalRoad-våpenmaskinen til å lage ondsinnede RTF-filer. I tillegg til disse to funnene bemerker forskerne også at en helt ny malware-familie har blitt introdusert i denne kampanjen, Victory Backdoor.

Ofrene ble kontaktet via e-post med spydfiske med det nevnte våpenformede RTF-vedlegget. Det overraskende med Victory Backdoor er at det ser ut til å ha vært i utvikling i veldig lang tid - de tidligste versjonene av nyttelasten ble samlet for over tre år siden.

Hensikten med Victory Backdoor er å gi operatørene vedvarende tilgang til det kompromitterte nettverket, samt å stille utfiltrere data fra det. Det kan manipulere filer, hente skjermbilder og samle inn forskjellige detaljer om det kompromitterte systemets maskinvare- og programvarekonfigurasjon. Utviklerne av skadelig programvare ser ut til å ha lagt ekstra vekt på sikkerheten i kommunikasjonen mellom implantatet og kontrollserveren - disse tilkoblingene er sterkt kryptert og forvirret.

Så langt har det ikke vært nok informasjon til å tilskrive Victory Backdoors utvikling og bruk til en bestemt kinesisk Advanced Persistent Threat (APT) -aktør, men forskere har høy tillit til at kriminelle virkelig opererer fra Kina.