Неизвестный китайский APT нацелен на Россию с помощью вредоносного ПО PortDoor

Агенты Advanced Persistent Threat (APT) продолжают свои атаки на высокопоставленные цели. На этот раз в заголовках новостей упоминается новая вредоносная программа, названная PortDoor. Считается, что он используется и разрабатывается китайской APT-атакой, и до сих пор он использовался в атаках на несколько российских секторов, наиболее заметным из которых является сектор обороны. Одной из целей было конструкторское бюро «Рубин» - к высокопоставленным сотрудникам обращались с помощью целевых фишинговых писем, содержащих вредоносный RTF-документ. Как и другие китайские злоумышленники, они также полагаются на утилиту RoyalRoad RTF builder.

Возможности PortDoor Malware не очень впечатляющие, но эта вредоносная программа выделяется другими вещами - кажется, что ее разработчики сделали упор на скрытный дизайн, который позволяет угрозе попытаться скрыть свое присутствие и активность. Угроза способна идентифицировать популярные виртуальные среды и прекратить выполнение, что затрудняет анализ вредоносного ПО.

Вредоносное ПО PortDoor специализируется на шпионаже. Операторам доступны следующие функции:

• Список всех запущенных процессов.
• Управляйте файловой системой.
• Прочтите информацию о разделах диска.
• Искать файлы.
• Находите, шифруйте и извлекайте данные.

Пока что атака PortDoor Malware на российский оборонный сектор не связана с какой-либо конкретной китайской APT. Однако эксперты отмечают, что свойства PortDoor Malware и сетевая инфраструктура намекают на то, что к атаке могут быть причастны известные злоумышленники, такие как TA428 или Rancor.