Onbekende Chinese APT richt zich op Rusland met de PortDoor-malware

Actoren van Advanced Persistent Threat (APT) gaan door met hun aanvallen op spraakmakende doelen. Deze keer vermelden de nieuwskoppen een nieuw stuk malware dat wordt geïdentificeerd als PortDoor. Aangenomen wordt dat het wordt gebruikt en ontwikkeld door een in China gevestigde APT-actor en tot dusver is het gebruikt bij aanvallen op verschillende Russische sectoren, waarvan de meest opvallende de defensiesector is. Een van de doelen was het Rubin Design Bureau - hooggeplaatste medewerkers werden benaderd via spear-phishing-e-mails die een kwaadwillig vervaardigd RTF-document bevatten. Net als andere in China gevestigde dreigingsactoren, vertrouwen deze ook op het hulpprogramma RoyalRoad RTF-builder.

De kenmerken van de PortDoor Malware zijn niet erg spectaculair, maar deze malware schittert met andere dingen - het lijkt erop dat de ontwikkelaars de nadruk hebben gelegd op een heimelijk ontwerp, waardoor de dreiging kan proberen zijn aanwezigheid en activiteit te verbergen. De dreiging kan populaire virtuele omgevingen identificeren en de uitvoering ervan stopzetten, waardoor het moeilijker wordt om de malware te ontleden.

De PortDoor Malware richt zich op spionage. De operators hebben toegang tot de volgende functies:

• Maak een lijst van alle lopende processen.
• Beheer het bestandssysteem.
• Lees de informatie over de schijfpartitie.
• Zoek naar bestanden.
• Gegevens zoeken, coderen en exfiltreren.

Tot dusver is de PortDoor Malware-aanval op de Russische defensiesector niet toegeschreven aan een bepaalde Chinese APT. Deskundigen merken echter op dat de eigenschappen en netwerkinfrastructuur van de PortDoor Malware erop wijzen dat prominente bedreigingsactoren zoals TA428 of Rancor in verband kunnen worden gebracht met de aanval.