Nieznany chiński APT atakuje Rosję za pomocą złośliwego oprogramowania PortDoor

Aktorzy Advanced Persistent Threat (APT) kontynuują ataki na głośne cele. Tym razem nagłówki wiadomości wspominają o nowym złośliwym oprogramowaniu zidentyfikowanym jako PortDoor. Uważa się, że jest używany i rozwijany przez chińskiego aktora APT i, jak dotąd, był używany w atakach na kilka rosyjskich sektorów, z których najważniejszym jest sektor obronny. Jednym z celów było biuro projektowe Rubin - do pracowników wysokiego szczebla kontaktowano się za pośrednictwem wiadomości e-mail typu spear phishing, które zawierały złośliwie spreparowany dokument RTF. Podobnie jak inni aktorzy z Chin, ci również polegają na narzędziu do tworzenia RTF RoyalRoad.

Cechy PortDoor Malware nie są zbyt spektakularne, ale to złośliwe oprogramowanie błyszczy innymi rzeczami - wydaje się, że jego twórcy położyli nacisk na ukradkowy projekt, który pozwala zagrożeniu próbować ukryć swoją obecność i aktywność. Zagrożenie jest w stanie zidentyfikować popularne środowiska wirtualne i zaprzestać ich wykonywania, co utrudnia analizę złośliwego oprogramowania.

PortDoor Malware koncentruje się na szpiegostwie. Jego operatorzy mają dostęp do następujących funkcji:

  • Wymień wszystkie uruchomione procesy.
  • Zarządzaj systemem plików.
  • Przeczytaj informacje o partycjach dysku.
  • Wyszukaj pliki.
  • Znajduj, szyfruj i eksfiltruj dane.

Jak dotąd atak PortDoor Malware na rosyjski sektor obronny nie został przypisany konkretnemu chińskiemu APT. Jednak eksperci zauważają, że właściwości i infrastruktura sieciowa PortDoor Malware wskazują, że z atakiem mogą być powiązani znane podmioty, takie jak TA428 czy Rancor.

May 4, 2021

Zostaw odpowiedź