Atak malware na największego projektanta okrętów podwodnych w Rosji

Czas czytania: 2 min

Groźny malware

Niedawno zaobserwowano, że malware stworzony przez grupę hakerską powiązaną z Chińskim rządem zaatakował rosyjskiego giganta zbrojeniowego. To właśnie on projektował atomowe okręty podwodne dla marynarki wojennej.

Według zespołu Cybereason Nocturnus ds. Wywiadu zagrożeń atak phishingowy, który dotyczył dyrektora generalnego pracującego w Rubin Design Bureau, wykorzystał niesławną broń “Royal Road” Rich Text Format (RTF). Konkretniej do iniekcji wcześniej nie znanego backdoora Windows o nazwie “PortDoor”.
„Portdoor ma wiele funkcji. W tym możliwość przeprowadzania rekonesansu, profilowania celów, iniekcji dodatkowego oprogramowania, przeniesienia uprawnień, manipulacji procesami, wykrywania i unikania wirusów, szyfrowanie XOR, eksfiltracji danych zaszyfrowanych AES i nie tylko” . Skomentowali naukowcy w przedstawionej w piątek notce prasowej.

Rubin Design Bureau to centrum projektowania okrętów podwodnych zlokalizowane w Sankt Petersburgu. Odpowiada za projekty ponad 85% okrętów radzieckiej i rosyjskiej marynarki wojennej od jej powstania w 1901 roku, w tym kilka generacji okrętów podwodnych typu krążownik z rakietami strategicznymi.

Łudź powodna — Content of the weaponized RTF document

Royal Road

Przez lata Royal Road zyskało sławę jako narzędzie wykorzystywane przez wiele grup hakerskich. Np. Goblin Panda, Rancor Group, TA428, Tick i Tonto Team. Znany z wykorzystywania wielu luk w Microsoft’s Equation Editor (CVE-2017-11882, CVE-2018-0798 i CVE-2018-0802) już pod koniec 2018 r., Ataki przybierają formę ukierunkowanych kampanii typu spear-phishing, które wykorzystują złośliwe dokumenty RTF do dostarczania złośliwego oprogramowania do niczego niepodejrzewających celów.

Ten nowo odkryty malware zachowuje prostotę starszych braci, ponieważ używany jest e-mail typu spear-phishing. Jest zaadresowany do firmy projektującej łodzie podwodne jako początkowego wektora infekcji. Podczas gdy poprzednie wersje Royal Road upuszczały zakodowane ładunki o nazwie „8.t”, wiadomość e-mail zawierała osadzony dokument ze złośliwym oprogramowaniem, który po otwarciu dostarcza zakodowany plik o nazwie „e.o” w celu pobrania implantu PortDoor, co sugeruje nowy wariant używanego uzbrojenia.

PortDoor obsługuje gamę backdoorów z szeroką gamą funkcji, które pozwalają mu profilować maszynę ofiary. Zwiększa uprawnienia, pobiera i uruchamia dowolne ładunki otrzymane z serwera kontrolowanego przez atakującego oraz eksportować wyniki z powrotem na serwer.

„Wektor infekcji, styl socjotechniczny, użycie RoyalRoad przeciwko podobnym celom oraz inne podobieństwa między nowo odkrytą próbką backdoora, a innym znanym chińskim złośliwym oprogramowaniem APT noszą znamiona grupy hakerskiej działającej w imieniu chińskich interesów sponsorowanych przez państwo”- powiedzieli naukowcy.