Bezpieczeństwo IT - metody ochrony, Cyberzagrożenia, Główna, Uncategorized

Atak Chińskiego malware na największego projektanta okrętów podwodnych w Rosji

Czas czytania: 2 min

Groźny malware

Niedawno zaobserwowano, że malware stworzony przez grupę hakerską powiązaną z Chińskim rządem zaatakował rosyjskiego giganta zbrojeniowego. To właśnie on projektował atomowe okręty podwodne dla marynarki wojennej.

Według zespołu Cybereason Nocturnus ds. Wywiadu zagrożeń atak phishingowy, który dotyczył dyrektora generalnego pracującego w Rubin Design Bureau, wykorzystał niesławną broń “Royal Road” Rich Text Format (RTF). Konkretniej do iniekcji wcześniej nie znanego backdoora Windows o nazwie “PortDoor”.
„Portdoor ma wiele funkcji. W tym możliwość przeprowadzania rekonesansu, profilowania celów, iniekcji dodatkowego oprogramowania, przeniesienia uprawnień, manipulacji procesami, wykrywania i unikania wirusów, szyfrowanie XOR, eksfiltracji danych zaszyfrowanych AES i nie tylko” . Skomentowali naukowcy w przedstawionej w piątek notce prasowej.

Rubin Design Bureau to centrum projektowania okrętów podwodnych zlokalizowane w Sankt Petersburgu. Odpowiada za projekty ponad 85% okrętów radzieckiej i rosyjskiej marynarki wojennej od jej powstania w 1901 roku, w tym kilka generacji okrętów podwodnych typu krążownik z rakietami strategicznymi.

Łudź powodna
Content of the weaponized RTF document

Royal Road

Przez lata Royal Road zyskało sławę jako narzędzie wykorzystywane przez wiele grup hakerskich. Np. Goblin Panda, Rancor Group, TA428, Tick i Tonto Team. Znany z wykorzystywania wielu luk w Microsoft’s Equation Editor  (CVE-2017-11882, CVE-2018-0798 i CVE-2018-0802) już pod koniec 2018 r., Ataki przybierają formę ukierunkowanych kampanii typu spear-phishing, które wykorzystują złośliwe dokumenty RTF do dostarczania złośliwego oprogramowania do niczego niepodejrzewających celów.

Ten nowo odkryty malware zachowuje prostotę starszych braci, ponieważ używany jest e-mail typu spear-phishing. Jest zaadresowany do firmy projektującej łodzie podwodne jako początkowego wektora infekcji. Podczas gdy poprzednie wersje Royal Road upuszczały zakodowane ładunki o nazwie „8.t”, wiadomość e-mail zawierała osadzony dokument ze złośliwym oprogramowaniem, który po otwarciu dostarcza zakodowany plik o nazwie „e.o” w celu pobrania implantu PortDoor, co sugeruje nowy wariant używanego uzbrojenia.

PortDoor obsługuje gamę backdoorów z szeroką gamą funkcji, które pozwalają mu profilować maszynę ofiary. Zwiększa uprawnienia, pobiera i uruchamia dowolne ładunki otrzymane z serwera kontrolowanego przez atakującego oraz eksportować wyniki z powrotem na serwer.

„Wektor infekcji, styl socjotechniczny, użycie RoyalRoad przeciwko podobnym celom oraz inne podobieństwa między nowo odkrytą próbką backdoora, a innym znanym chińskim złośliwym oprogramowaniem APT noszą znamiona grupy hakerskiej działającej w imieniu chińskich interesów sponsorowanych przez państwo”- powiedzieli naukowcy.





Dodaj komentarz