Hackers suspeitos de trabalhar para o governo chinês usaram um novo malware chamado PortDoor para se infiltrar nos sistemas de uma empresa de engenharia que projeta submarinos para a Marinha Russa.
Eles usaram um e-mail de spear-phishing criado especificamente para induzir o diretor geral da empresa a abrir um documento malicioso.
O ataque de phishing, que tinha como foco um diretor geral que trabalha no Rubin Design Bureau, utilizou o já famoso “Royal Road” Rich Text Format (RTF) para entregar um backdoor do Windows que ainda não havia sido documentado apelidado de “PortDoor”.
Rubin Design Bureau é um centro que projeta submarinos, localizado em São Petersburgo, e responsável por projetar mais de 85% dos submarinos da Marinha soviética e russa desde suas origem em 1901.
Nos últimos anos, a ferramenta Royal Road se tornou muito utilizada por grupos de hackers chineses, como Goblin Panda, Rancor Group, TA428, Tick e Tonto Team. Esse ataque explora várias falhas no Equation Editor da Microsoft (CVE-2017-11882, CVE-2018-0798 e CVE-2018-0802) em formato de campanhas de spear-phishing que utilizam Documentos RTF infectados para entregar malwares personalizados para alvos de alto valor.
Os pesquisadores da Cybereason Nocturnus descobriram que o invasor induziu o destinatário a abrir o documento malicioso que possuía uma descrição de um veículo subaquático autônomo.
O documento RTF gera um arquivo de suplemento do Microsoft Word quando é aberto e executado, escapando de detecções automáticas. Esse arquivo, chamado de winlog.wll, apresenta os seguintes recursos:
Reconhecer e coletar o perfil da máquina da vítima
Receber comandos e baixar cargas úteis adicionais do servidor C2
Comunicação com o servidor C2 usando raw socket, assim como HTTP na porta 443 com suporte de autenticação de proxy
Escalada de privilégios e manipulação de processos
Resolução de API dinâmica para evasão de detecção estática
Criptografia XOR de um byte de dados confidenciais e strings de configuração
As informações coletadas são criptografadas com AES antes de serem enviadas para o servidor C2
Por fim, os pesquisadores concluem:
O vetor de infecção, o estilo de engenharia social, o uso de RoyalRoad contra alvos parecidos e outras semelhanças entre a amostra backdoor recém-descoberta e outro malware APT chinês conhecido, trazem as marcas de um ator de ameaça operando em nome de interesses patrocinados pelo Estado chinês.
Via internationalit.com
