illiquidum (illiquidum) wrote,
illiquidum
illiquidum

Categories:

Кто атаковал крупнейшего в России конструктора атомных подводных лодок?

By Ionut Ilascu   April 30, 2021 

Russian submarine

Хакеры, предположительно работающие на  правительство Китая, использовали новое вредоносное ПО под названием PortDoor для проникновения в компьютерные системы инженерной компании, проектирующей подводные лодки для ВМФ России. Они использовали целевое фишинговое письмо, специально созданное для того, чтобы спровоцировать  генерального директора компании открыть вредоносный документ.

Конкретное нацеливание

Злоумышленники  нацелились на Центральное конструкторское бюро морского машиностроения «Рубин» в Санкт-Петербурге, оборонного подрядчика, спроектировавшего большинство российских атомных подводных лодок.

Бэкдор был доставлен в виде документа в формате RTF, прикрепленного к электронному письму, адресованному генеральному директору компании Игорю В. Вильниту.

Исследователи угроз Cybereason Nocturnus обнаружили, что злоумышленник спровоцировал  получателя открыть вредоносный документ с общим описанием автономного подводного аппарата.

Weaponized RTF with PortDoor payloadДокумент RTF, несущий бэкдор PortDoor.

Копнув  глубже, исследователи обнаружили, что файл RTF был превращен в оружие с помощью RoyalRoad, инструмента для создания вредоносных документов с использованием  нескольких уязвимостей в Microsoft Equation Editor.

В прошлом использование RoyalRoad было связано с несколькими злоумышленниками, работающими от имени правительства Китая, такими как Tick, Tonto Team, TA428, Goblin Panda, Rancor, Naikon.

При запуске документ RTF вставляет бэкдор PortDoor в папке автозагрузки Microsoft Word, маскируя его как файл надстройки, «winlog.wll».

PortDoor backdoor disguised as Microsoft add-inБэкдор PortDoor, замаскированный под надстройку Microsoft

Согласно анализу Cybereason, PortDoor представляет собой полноценный бэкдор с расширенным списком функций, которые делают его подходящим для множества задач:


  • Проведение разведки


  • Профилирование систем жертвы


  • Загрузка полезных данных с сервера управления и контроля


  • Повышение уровня полномочий


  • Динамическое разрешение API для избежания статического обнаружения


  • Однобайтовое шифрование XOR (конфиденциальные данные, конфигурация)


  • эвакуация AES-шифрованных данных


В техническом отчете Cybereason Nocturnus Team описываются функциональные возможности вредоносной программы и приводятся индикаторы компрометации, чтобы помочь организациям защититься от нее .

Исследователи отнесли PortDoor к группе хакеров, спонсируемой китайским государством, на основании сходства в тактике, методах и процедурах с другими, связанными с Китаем, участниками угроз.

На основе работы с исследователем безопасности nao_sec,Cybereason был состоянии определить  что вредоносный RTF документ был создан с RoaylRoad v7 с кодировкой заголовка  связанной с операциями с Тонто Team (ака CactusPete), Ранкора и TA428.

CactusPete и TA428 известны атаками на организации в Восточной Европе (Россия) и Азии [1, 2, 3, 4]. Кроме того, Cybereason обнаружил лингвистические и визуальные элементы в фишинговом письме PortDoor и документах, которые напоминают приманки в атаках от Tonto Team.

Однако на уровне кода PortDoor не имеет существенного сходства с другими вредоносными программами, используемыми вышеупомянутыми группами, что указывает на то, что это новый бэкдор.

Атрибуция PortDoor со стороны Cybereason не вызывает большой уверенности. Исследователи знают, что за этим вредоносным ПО могут стоять и другие группы. Однако текущие данные указывают на злоумышленников китайского происхождения.

«В конце концов, мы также знаем, что могут быть другие группы, известные или пока неизвестные, которые могут стоять за атакой и разработкой бэкдора PortDoor. Мы надеемся, что со временем и с большим количеством собранных доказательств атрибуция может быть более конкретной »- Cybereason




Источник
Subscribe

  • Post a new comment

    Error

    Anonymous comments are disabled in this journal

    default userpic

    Your reply will be screened

    Your IP address will be recorded 

  • 0 comments