Utilizó una puerta trasera de Windows previamente indocumentada denominada "PortDoor"
Recientemente se observó que un actor de amenazas, o actor malicioso, que se cree que trabaja en nombre de los intereses patrocinados por el estado chino apuntaba a un contratista de defensa con sede en Rusia involucrado en el diseño de submarinos nucleares para el brazo naval de las Fuerzas Armadas de Rusia.
El ataque de phishing, que destacó a un director general que trabajaba en Rubin Design Bureau, aprovechó el infame armador de formato de texto enriquecido (RTF) "Royal Road" para ofrecer una puerta trasera de Windows previamente indocumentada denominada "PortDoor", según el equipo de inteligencia de amenazas Nocturnus de Cybereason.
"Portdoor tiene múltiples funcionalidades, incluida la capacidad de realizar reconocimiento, perfilado de objetivos, entrega de cargas útiles adicionales, escalada de privilegios, manipulación de procesos, detección estática, evasión de antivirus, cifrado XOR de un byte, exfiltración de datos cifrados con AES y más", dijeron los investigadores en un artículo el viernes.
Rubin Design Bureau es un centro de diseño de submarinos ubicado en San Petersburgo, que representa el diseño de más del 85% de los submarinos de la Armada soviética y rusa desde sus orígenes en 1901, incluidas varias generaciones de submarinos de crucero de misiles estratégicos.
Imagen: Contenido del documento RTF armado
A lo largo de los años, Royal Road se ha ganado un lugar como herramienta de elección entre una variedad de actores de amenazas chinos como Goblin Panda, Rancor Group, TA428, Tick y Tonto Team. Conocido por explotar múltiples fallas en el Editor de Ecuaciones de Microsoft (CVE-2017-11882, CVE-2018-0798 y CVE-2018-0802) desde fines de 2018, los ataques toman la forma de campañas dirigidas de spear-phishing que utilizan Documentos RTF para entregar malware personalizado a objetivos desprevenidos de alto valor.
Este ataque recién descubierto no es diferente, ya que el adversario utiliza un correo electrónico de phishing dirigido a la empresa de diseño de submarinos como vector de infección inicial. Si bien se descubrió que las versiones anteriores de Royal Road soltaban cargas útiles codificadas con el nombre de "8.t", el correo electrónico viene incrustado con un documento con malware que, cuando se abre, entrega un archivo codificado llamado "e.o" para buscar el implante PortDoor, lo que implica una nueva variante del armador en uso.
Se dice que está diseñado con la ofuscación y la persistencia en mente, PortDoor ejecuta la gama de puerta trasera con una amplia gama de características que le permiten perfilar la máquina víctima, escalar privilegios, descargar y ejecutar cargas útiles arbitrarias recibidas de un servidor controlado por atacantes y exportar el resultados de vuelta al servidor.
"El vector de infección, el estilo de ingeniería social, el uso de RoyalRoad contra objetivos similares y otras similitudes entre la muestra de puerta trasera recién descubierta y otro conocido malware APT chino tienen el sello de un actor de amenazas que opera en nombre de los intereses patrocinados por el estado chino". dijeron los investigadores.
