Nieznany chiński APT atakuje Rosję za pomocą złośliwego oprogramowania PortDoor
Aktorzy Advanced Persistent Threat (APT) kontynuują ataki na głośne cele. Tym razem nagłówki wiadomości wspominają o nowym złośliwym oprogramowaniu zidentyfikowanym jako PortDoor. Uważa się, że jest używany i rozwijany przez chińskiego aktora APT i, jak dotąd, był używany w atakach na kilka rosyjskich sektorów, z których najważniejszym jest sektor obronny. Jednym z celów było biuro projektowe Rubin - do pracowników wysokiego szczebla kontaktowano się za pośrednictwem wiadomości e-mail typu spear phishing, które zawierały złośliwie spreparowany dokument RTF. Podobnie jak inni aktorzy z Chin, ci również polegają na narzędziu do tworzenia RTF RoyalRoad.
Cechy PortDoor Malware nie są zbyt spektakularne, ale to złośliwe oprogramowanie błyszczy innymi rzeczami - wydaje się, że jego twórcy położyli nacisk na ukradkowy projekt, który pozwala zagrożeniu próbować ukryć swoją obecność i aktywność. Zagrożenie jest w stanie zidentyfikować popularne środowiska wirtualne i zaprzestać ich wykonywania, co utrudnia analizę złośliwego oprogramowania.
PortDoor Malware koncentruje się na szpiegostwie. Jego operatorzy mają dostęp do następujących funkcji:
- Wymień wszystkie uruchomione procesy.
- Zarządzaj systemem plików.
- Przeczytaj informacje o partycjach dysku.
- Wyszukaj pliki.
- Znajduj, szyfruj i eksfiltruj dane.
Jak dotąd atak PortDoor Malware na rosyjski sektor obronny nie został przypisany konkretnemu chińskiemu APT. Jednak eksperci zauważają, że właściwości i infrastruktura sieciowa PortDoor Malware wskazują, że z atakiem mogą być powiązani znane podmioty, takie jak TA428 czy Rancor.