Hackers suspeitos de trabalhar para o governo chinês usaram um novo malware chamado PortDoor para se infiltrar nos sistemas de uma empresa de engenharia que projeta submarinos para a Marinha Russa.
Eles usaram um e-mail de spear-phishing criado especificamente para induzir o diretor geral da empresa a abrir um documento malicioso.
O ataque de phishing, que tinha como foco um diretor geral que trabalha no Rubin Design Bureau, utilizou o já famoso "Royal Road" Rich Text Format (RTF) para entregar um backdoor do Windows que ainda não havia sido documentado apelidado de "PortDoor".
Sobre esse malware, os pesquisadores da equipe de inteligência Nocturnus da Cybereason, afirmam:
O Portdoor tem várias funcionalidades, incluindo a capacidade de fazer reconhecimento, criação de perfil de destino, entrega de cargas adicionais, escalonamento de privilégios, manipulação de processos, detecção de evasão antivírus, criptografia XOR de um byte, exfiltração de dados criptografados AES e muito mais.
Rubin Design Bureau é um centro que projeta submarinos, localizado em São Petersburgo, e responsável por projetar mais de 85% dos submarinos da Marinha soviética e russa desde suas origem em 1901.
Nos últimos anos, a ferramenta Royal Road se tornou muito utilizada por grupos de hackers chineses, como Goblin Panda, Rancor Group, TA428, Tick e Tonto Team. Esse ataque explora várias falhas no Equation Editor da Microsoft (CVE-2017-11882, CVE-2018-0798 e CVE-2018-0802) em formato de campanhas de spear-phishing que utilizam Documentos RTF infectados para entregar malwares personalizados para alvos de alto valor.
Os pesquisadores da Cybereason Nocturnus descobriram que o invasor induziu o destinatário a abrir o documento malicioso que possuía uma descrição de um veículo subaquático autônomo.
SAIBA MAIS: As 10 principais etapas da Segurança Cibernética
O documento RTF gera um arquivo de suplemento do Microsoft Word quando é aberto e executado, escapando de detecções automáticas. Esse arquivo, chamado de winlog.wll, apresenta os seguintes recursos:
Reconhecer e coletar o perfil da máquina da vítima
Receber comandos e baixar cargas úteis adicionais do servidor C2
Comunicação com o servidor C2 usando raw socket, assim como HTTP na porta 443 com suporte de autenticação de proxy
Escalada de privilégios e manipulação de processos
Resolução de API dinâmica para evasão de detecção estática
Criptografia XOR de um byte de dados confidenciais e strings de configuração
As informações coletadas são criptografadas com AES antes de serem enviadas para o servidor C2
Por fim, os pesquisadores concluem:
O vetor de infecção, o estilo de engenharia social, o uso de RoyalRoad contra alvos parecidos e outras semelhanças entre a amostra backdoor recém-descoberta e outro malware APT chinês conhecido, trazem as marcas de um ator de ameaça operando em nome de interesses patrocinados pelo Estado chinês.
Fontes: The Hacker News e Teiss
Proteja seu futuro. Invista em cibersegurança hoje mesmo.
Transforme seu Negócio com Tecnologia de Ponta: Agende sua Tech Demo!
