СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Реклама Политика ПДн
Новости
Артем
30.04.2021
#Dev#ИБ#Инфра

Китайские хакеры провели кибератаку на российского конструктора подводных лодок

Китайские хакеры провели кибератаку на российского конструктора подводных лодок

Компания по исследованию киберугроз Cybereason Nocturnus выявила действия хакеров (предположительно связанных с правительством Китая), направленные против внутренних систем Центрального конструкторского бюро морской техники «Рубин» в Санкт-Петербурге.

Специалисты сообщают, что хакеры направили на корпоративный электронный адрес генерального директора компании Игоря Вильнита специально созданное фишинговое письмо, содержащее вредоносное вложение.

Вредоносным вложением оказался RTF-файл, который содержал различную техническую информацию по подводным лодкам. Также файл включал в себя вредоносное ПО PortDoor:

Исследователи из Cybereason Nocturnus отмечают, что присланный киберпреступниками RTF-файл был создан с использованием инструмента RoyalRoad, который применяется для разработки вредоносных документов, которые эксплуатируют уязвимости в Microsoft Equation Editor.

Ранее применение хакерского инструмента RoyalRoad было связано с большим количеством киберпреступников и киберпреступных групп, большинство из которых, как предполагают исследователи безопасности, связана с китайским правительством. Это хакерские группировки Tick, Tonto Team, TA428, Goblin Panda, Rancor, Naikon.

Если запустить вредоносный RTF-файл, то бэкдор PortDoor перемещается автоматически в папку автозагрузки Microsoft Word, маскируясь при этом под файл надстройки winlog.wll:

В соответствии с исследованием, проведенным компанией Cybereason Nocturnus, вредоносное ПО PortDoor представлено в виде полноценного бэкдора с расширенным функционалом, что позволяет его использовать для решения множества преступных задач:

  • повышение привилегий;
  • профилирование взломанных систем;
  • скачивание дополнительной вредоносной полезной нагрузки с сервера управления и контроля;
  • разрешение динамического API для избегания статического обнаружения;
  • однобайтовое шифрование XOR;
  • кража конфиденциальных данных с шифрование AES.

В отчете, который был опубликован сегодня компанией Cybereason Nocturnus, описаны функции вредоносного ПО PortDoor и приведены индикаторы компрометации, с помощью чего организации смогут защититься от этого бэкдора.

Исследователи Cybereason Nocturnus отнесли PortDoor к хакерской группе, спонсируемой правительством Китая, на основании сходства в тактике, методах и процедурах, которые используются другими киберпреступниками, связанными с китайскими властями.

Артем
Автор: Артем
Представитель редакции CISOCLUB. Пишу новости, дайджесты, добавляю мероприятия и отчеты.
Комментарии: