Китайские хакеры провели кибератаку на российского конструктора подводных лодок

Дата: 30.04.2021. Автор: Артем П. Категории: Новости по информационной безопасности
Китайские хакеры провели кибератаку на российского конструктора подводных лодок

Компания по исследованию киберугроз Cybereason Nocturnus выявила действия хакеров (предположительно связанных с правительством Китая), направленные против внутренних систем Центрального конструкторского бюро морской техники «Рубин» в Санкт-Петербурге.

Специалисты сообщают, что хакеры направили на корпоративный электронный адрес генерального директора компании Игоря Вильнита специально созданное фишинговое письмо, содержащее вредоносное вложение.

Вредоносным вложением оказался RTF-файл, который содержал различную техническую информацию по подводным лодкам. Также файл включал в себя вредоносное ПО PortDoor:

Китайские хакеры провели кибератаку на российского конструктора подводных лодок

Исследователи из Cybereason Nocturnus отмечают, что присланный киберпреступниками RTF-файл был создан с использованием инструмента RoyalRoad, который применяется для разработки вредоносных документов, которые эксплуатируют уязвимости в Microsoft Equation Editor.

Ранее применение хакерского инструмента RoyalRoad было связано с большим количеством киберпреступников и киберпреступных групп, большинство из которых, как предполагают исследователи безопасности, связана с китайским правительством. Это хакерские группировки Tick, Tonto Team, TA428, Goblin Panda, Rancor, Naikon.

Если запустить вредоносный RTF-файл, то бэкдор PortDoor перемещается автоматически в папку автозагрузки Microsoft Word, маскируясь при этом под файл надстройки winlog.wll:

Китайские хакеры провели кибератаку на российского конструктора подводных лодок

В соответствии с исследованием, проведенным компанией Cybereason Nocturnus, вредоносное ПО PortDoor представлено в виде полноценного бэкдора с расширенным функционалом, что позволяет его использовать для решения множества преступных задач:

  • повышение привилегий;
  • профилирование взломанных систем;
  • скачивание дополнительной вредоносной полезной нагрузки с сервера управления и контроля;
  • разрешение динамического API для избегания статического обнаружения;
  • однобайтовое шифрование XOR;
  • кража конфиденциальных данных с шифрование AES.

В отчете, который был опубликован сегодня компанией Cybereason Nocturnus, описаны функции вредоносного ПО PortDoor и приведены индикаторы компрометации, с помощью чего организации смогут защититься от этого бэкдора.

Исследователи Cybereason Nocturnus отнесли PortDoor к хакерской группе, спонсируемой правительством Китая, на основании сходства в тактике, методах и процедурах, которые используются другими киберпреступниками, связанными с китайскими властями.

Артем П

Об авторе Артем П

Автор на портале cisoclub.ru. Добавляйте ваш материал на сайт в разделе "Разместить публикацию".
Читать все записи автора Артем П

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *