Atak Chińskiego malware na największego projektanta okrętów podwodnych w Rosji

Atak Chińskiego malware na największego projektanta okrętów podwodnych w Rosji

Malware stworzony przez grupę hakerską powiązaną z Chińskim rządem zaatakował rosyjskiego giganta zbrojeniowego. To właśnie on projektował atomowe okręty podwodne dla marynarki wojennej.

Groźny malware

Niedawno zaobserwowano, że malware stworzony przez grupę hakerską powiązaną z Chińskim rządem zaatakował rosyjskiego giganta zbrojeniowego. To właśnie on projektował atomowe okręty podwodne dla marynarki wojennej. Według zespołu Cybereason Nocturnus ds. Wywiadu zagrożeń atak phishingowy, który dotyczył dyrektora generalnego pracującego w Rubin Design Bureau, wykorzystał niesławną broń "Royal Road" Rich Text Format (RTF). Konkretniej do iniekcji wcześniej nie znanego backdoora Windows o nazwie "PortDoor". „Portdoor ma wiele funkcji. W tym możliwość przeprowadzania rekonesansu, profilowania celów, iniekcji dodatkowego oprogramowania, przeniesienia uprawnień, manipulacji procesami, wykrywania i unikania wirusów, szyfrowanie XOR, eksfiltracji danych zaszyfrowanych AES i nie tylko” . Skomentowali naukowcy w przedstawionej w piątek notce prasowej. Rubin Design Bureau to centrum projektowania okrętów podwodnych zlokalizowane w Sankt Petersburgu. Odpowiada za projekty ponad 85% okrętów radzieckiej i rosyjskiej marynarki wojennej od jej powstania w 1901 roku, w tym kilka generacji okrętów podwodnych typu krążownik z rakietami strategicznymi. Łudź powodna Content of the weaponized RTF document

Royal Road

Przez lata Royal Road zyskało sławę jako narzędzie wykorzystywane przez wiele grup hakerskich. Np. Goblin Panda, Rancor Group, TA428, Tick i Tonto Team. Znany z wykorzystywania wielu luk w Microsoft's Equation Editor  (CVE-2017-11882, CVE-2018-0798 i CVE-2018-0802) już pod koniec 2018 r., Ataki przybierają formę ukierunkowanych kampanii typu spear-phishing, które wykorzystują złośliwe dokumenty RTF do dostarczania złośliwego oprogramowania do niczego niepodejrzewających celów. Ten nowo odkryty malware zachowuje prostotę starszych braci, ponieważ używany jest e-mail typu spear-phishing. Jest zaadresowany do firmy projektującej łodzie podwodne jako początkowego wektora infekcji. Podczas gdy poprzednie wersje Royal Road upuszczały zakodowane ładunki o nazwie „8.t”, wiadomość e-mail zawierała osadzony dokument ze złośliwym oprogramowaniem, który po otwarciu dostarcza zakodowany plik o nazwie „e.o” w celu pobrania implantu PortDoor, co sugeruje nowy wariant używanego uzbrojenia. PortDoor obsługuje gamę backdoorów z szeroką gamą funkcji, które pozwalają mu profilować maszynę ofiary. Zwiększa uprawnienia, pobiera i uruchamia dowolne ładunki otrzymane z serwera kontrolowanego przez atakującego oraz eksportować wyniki z powrotem na serwer. „Wektor infekcji, styl socjotechniczny, użycie RoyalRoad przeciwko podobnym celom oraz inne podobieństwa między nowo odkrytą próbką backdoora, a innym znanym chińskim złośliwym oprogramowaniem APT noszą znamiona grupy hakerskiej działającej w imieniu chińskich interesów sponsorowanych przez państwo”- powiedzieli naukowcy.

Oceń blog:
Czas czytania: 4 min
Data: 04.05.2021

Terminarz

prev

next

Lista najbliższych webinariów

03.09.2026
09:00 Warsztaty Hardening Windows – LAPS, Restricted Groups, Compliance Toolkit (1 dzień)
Warsztaty Hardening Windows – LAPS, Restricted Groups, Compliance Toolkit (1 dzień)
08.09.2026
09:00 Szkolenie Ansible z Windows i Active Directory
Szkolenie Ansible z Windows i Active Directory
10.09.2026
09:00 Szkolenie Ansible – automatyzacja infrastruktury IT bez agentów (2 dni)
Szkolenie Ansible – automatyzacja infrastruktury IT bez agentów (2 dni)
22.09.2026
09:00 Hardening Windows i Active Directory – Tiering, PAW, Jump Servers (warsztaty 1 dzień)
Hardening Windows i Active Directory – Tiering, PAW, Jump Servers (warsztaty 1 dzień)
22.09.2026
10:00 Szkolenie: cyberbezpieczeństwo dla pracowników biurowych
Szkolenie: cyberbezpieczeństwo dla pracowników biurowych
newsletter
Chcesz wiedzieć więcej? Zapisz się na Newsletter i otrzymuj najnowsze informacje

Zobacz inne wpisy

Wiedza i świadomość na temat aktualnych cyberzagrożeń to podstawa dobrej taktyki bezpieczeństwa. Chcesz być na bieżąco z wydarzeniami ze świata cybersecurity? A może szukasz wskazówek jak zapewnić wyższy poziom cyberbezpieczeństwa w swojej firmie? Chcesz poznać topowe rozwiązania? Dobrze trafiłeś.

zobacz wszystkie wpisy
Moduły CrowdStrike Falcon - jak rozbudowywać ochronę firmy Endpoint Detection and Response (EDR)
PromptLock - pierwszy ransomware wykorzystujący AI do pisania kodu Endpoint Detection and Response (EDR)
Agenci AI i bezpieczeństwo tożsamości – kto naprawdę działa w systemie? Autoryzacja i Zarządzanie Tożsamością
Ochrona endpointów i XDR – ataki, które nie wyglądają jak wirusy Extended Detection and Response (XDR)
Masz 29 minut. Jak szybko haker może przejąć firmę Endpoint Detection and Response (EDR)