Ukjent kinesisk APT målretter Russland mot PortDoor-skadelig programvare

Advanced Persistent Threat (APT) -aktører fortsetter med sine angrep mot høyprofilerte mål. Denne gangen nevner nyhetsoverskriftene et nytt stykke malware identifisert som PortDoor. Det antas å bli brukt og utviklet av en Kina-basert APT-aktør, og så langt har den blitt brukt i angrep mot flere russiske sektorer, hvor den viktigste er forsvarssektoren. Et av målene var Rubin Design Bureau - høytstående ansatte ble kontaktet via spydfiske-e-post som inneholdt et skadelig RTF-dokument. Akkurat som andre Kina-baserte trusselsaktører, er disse også avhengige av RoyalRoad RTF-byggverktøyet.

Funksjonene til PortDoor Malware er ikke veldig spektakulære, men denne skadelige programvaren skinner med andre ting - det ser ut til at utviklerne har lagt vekt på en skjult design, som gjør at trusselen kan forsøke å skjule sin tilstedeværelse og aktivitet. Trusselen er i stand til å identifisere populære virtuelle miljøer og slutte å kjøre den, og gjør det vanskeligere å dissekere skadelig programvare.

PortDoor Malware fokuserer på spionasje. Dets operatører har tilgang til følgende funksjoner:

• Liste over alle kjørende prosesser.
• Administrer filsystemet.
• Les informasjon om diskpartisjon.
• Søk etter filer.
• Finn, krypter og eksfiltrer data.

Så langt har ikke PortDoor-angrepet mot den russiske forsvarssektoren blitt tilskrevet en bestemt kinesisk APT. Eksperter bemerker imidlertid at PortDoor Malwares eiendommer og nettverksinfrastruktur antyder at høyprofilerte trusselsaktører som TA428 eller Rancor kan være assosiert med angrepet.