Sydostasiens regeringsenheter riktade av Victory Backdoor

Specialister inom cybersäkerhet har identifierat en ny spionagekampanj för cyberbrott, som riktar sig till diplomatiska och regeringsenheter i Sydostasien. Medan förövaren av attacken ännu inte har identifierats rapporterar experter att de sannolikt kommer från Kina med tanke på vilken typ av enheter de riktar in sig på, liksom det faktum att de har använt RoyalRoad-vapenföraren för att skapa skadliga RTF-filer. Förutom dessa två resultat konstaterar forskare också att en helt ny malware-familj har introducerats i denna kampanj, Victory Backdoor.

Offren kontaktades via spjutfiske-e-postmeddelanden med den ovannämnda beväpnade RTF-bilagan. Det överraskande med Victory Backdoor är att det verkar ha varit under utveckling under mycket lång tid - de tidigaste versionerna av nyttolasten sammanställdes för över tre år sedan.

Syftet med Victory Backdoor är att ge operatörerna ihållande åtkomst till det komprometterade nätverket samt att tyst exfiltrera data från det. Det kan manipulera filer, ta skärmdumpar och samla in olika detaljer om det komprometterade systemets hårdvaru- och programvarukonfiguration. Utvecklarna av skadlig programvara verkar ha lagt extra vikt vid säkerheten för kommunikationen mellan implantatet och kontrollservern - dessa anslutningar är starkt krypterade och fördunklade.

Hittills har det inte funnits tillräckligt med information för att tillskriva Victory Backdoors utveckling och användning till en viss kinesisk Advanced Persistent Threat (APT) -aktör, men forskare har stort förtroende för att brottslingarna verkligen verkar från Kina.