中国未知的APT通过PortDoor恶意软件将俄罗斯瞄准
高级持续威胁(APT)参与者继续攻击高姿态的目标。这次,新闻头条提到了一种新的恶意软件,称为PortDoor。据信,它是由中国的APT演员使用和开发的,到目前为止,它已用于对俄罗斯多个部门的攻击,其中最著名的是国防部门。目标之一是鲁宾设计局(Rubin Design Bureau)–通过包含恶意制作的RTF文档的鱼叉式网络钓鱼电子邮件与高级员工联系。就像其他位于中国的威胁参与者一样,这些威胁参与者也依赖RoyalRoad RTF构建器实用程序。
PortDoor恶意软件的功能并不十分引人注目,但这种恶意软件却具有其他优点-似乎其开发人员强调了隐身设计,该设计允许威胁试图掩盖其存在和活动。威胁能够识别流行的虚拟环境并停止执行,因此更加难以剖析恶意软件。
PortDoor恶意软件专注于间谍活动。它的操作员可以使用以下功能:
- 列出所有正在运行的进程。
- 管理文件系统。
- 读取磁盘分区信息。
- 搜索文件。
- 查找,加密和泄露数据。
到目前为止,针对俄罗斯国防部门的PortDoor恶意软件攻击尚未归因于特定的中国APT。但是,专家指出,PortDoor恶意软件的属性和网络基础结构暗示,像TA428或Rancor这样引人注目的威胁行为者可能与攻击有关。
May 4, 2021
