Неизвестный китайский APT нацелен на Россию с помощью вредоносного ПО PortDoor
Агенты Advanced Persistent Threat (APT) продолжают свои атаки на высокопоставленные цели. На этот раз в заголовках новостей упоминается новая вредоносная программа, названная PortDoor. Считается, что он используется и разрабатывается китайской APT-атакой, и до сих пор он использовался в атаках на несколько российских секторов, наиболее заметным из которых является сектор обороны. Одной из целей было конструкторское бюро «Рубин» - к высокопоставленным сотрудникам обращались с помощью целевых фишинговых писем, содержащих вредоносный RTF-документ. Как и другие китайские злоумышленники, они также полагаются на утилиту RoyalRoad RTF builder.
Возможности PortDoor Malware не очень впечатляющие, но эта вредоносная программа выделяется другими вещами - кажется, что ее разработчики сделали упор на скрытный дизайн, который позволяет угрозе попытаться скрыть свое присутствие и активность. Угроза способна идентифицировать популярные виртуальные среды и прекратить выполнение, что затрудняет анализ вредоносного ПО.
Вредоносное ПО PortDoor специализируется на шпионаже. Операторам доступны следующие функции:
- Список всех запущенных процессов.
- Управляйте файловой системой.
- Прочтите информацию о разделах диска.
- Искать файлы.
- Находите, шифруйте и извлекайте данные.
Пока что атака PortDoor Malware на российский оборонный сектор не связана с какой-либо конкретной китайской APT. Однако эксперты отмечают, что свойства PortDoor Malware и сетевая инфраструктура намекают на то, что к атаке могут быть причастны известные злоумышленники, такие как TA428 или Rancor.