Okänd kinesisk APT riktar sig mot Ryssland med PortDoor-skadlig programvara
APT-aktörer (Advanced Persistent Threat) fortsätter med sina attacker mot högt profilerade mål. Den här gången nämner nyhetsrubrikerna en ny bit av skadlig kod som identifierats som PortDoor. Det antas användas och utvecklas av en Kina-baserad APT-aktör och hittills har den använts i attacker mot flera ryska sektorer, varav den mest anmärkningsvärda är försvarssektorn. Ett av målen var Rubin Design Bureau - högt anställda kontaktades via spjutfiske e-postmeddelanden som innehöll ett skadligt utformat RTF-dokument. Precis som andra Kina-baserade hotaktörer, förlitar sig dessa också på RoyalRoad RTF-byggverktyget.
Funktionerna i PortDoor Malware är inte särskilt spektakulära, men den här skadliga programvaran lyser med andra saker - det verkar som att dess utvecklare har betonat en smygande design, som gör det möjligt för hotet att försöka dölja sin närvaro och aktivitet. Hotet kan identifiera populära virtuella miljöer och upphöra med körningen, vilket gör det svårare att dissekera skadlig kod.
PortDoor Malware fokuserar på spionage. Dess operatörer har tillgång till följande funktioner:
- Lista alla pågående processer.
- Hantera filsystemet.
- Läs information om diskpartition.
- Sök efter filer.
- Hitta, kryptera och exfiltrera data.
Hittills har PortDoor Malware-attacken mot den ryska försvarssektorn inte tillskrivits en viss kinesisk APT. Men experter noterar att PortDoor Malwares fastigheter och nätverksinfrastruktur antyder att högprofilerade hotaktörer som TA428 eller Rancor kan associeras med attacken.
