Китайские хакеры атаковали российского разработчика атомных подлодок

Вт 4 Май 2021 05:04

Предположительно работающая на китайское правительство киберпреступная группа атаковала российское оборонное предприятие, занимающееся разработкой атомных подводных лодок для военно-морского флота РФ.

Фишинговое письмо, отправленное злоумышленниками генеральному директору санкт-петербургского конструкторского бюро «Рубин», использовало инструмент для создания RTF-эксплоитов Royal Road для доставки на атакуемую систему ранее неизвестного бэкдора для Windows под названием PortDoor.

По словам специалистов команды Nocturnus ИБ-компании Cybereason, PortDoor имеет широкий функционал и способен осуществлять разведку, профилировать цели, доставлять дополнительную полезную нагрузку, повышать привилегии, обходить антивирусное ПО, использовать однобайтовое шифрование XOR, извлекать данные, зашифрованные с использованием стандарта AES, и пр.

В течение многих лет Royal Road является излюбленным инструментом целого ряда китайских хакерских группировок, в частности Goblin Panda, Rancor Group, TA428, Tick и Tonto Team, которые используют его в целенаправленных фишинговых атаках с конца 2018 года. Злоумышленники эксплуатируют уязвимости в Microsoft Equation Editor ( CVE-2017-11882 , CVE-2018-0798 и CVE-2018-0802 ) и используют вредоносные RTF-документы для доставки кастомного вредоносного ПО на системы ничего не подозревающих жертв.

Такой же тактики хакеры придерживались и в недавней атаке на гендиректора конструкторского бюро «Рубин» – главным вектором заражения были фишинговые письма. Тем не менее, если предыдущие версии Royal Road доставляли зашифрованную полезную нагрузку под названием «8.t», то в этот раз письмо содержало вредоносный документ, доставляющий при открытии зашифрованный файл с именем «eo» для извлечения импланта PortDoor. То есть, злоумышленники воспользовались новыми инструментами.

«Вектор заражения, стиль социальной инженерии, использование RoyalRoad в атаках на аналогичные цели и сходства между недавно обнаруженным бэкдором и другим известным вредоносным ПО китайских APT – все это указывает на злоумышленников, действующих в государственных интересах Китая», – сообщили исследователи.

Центральное конструкторское бюро морской техники «Рубин» – одно из ведущих советских и российских предприятий в области проектирования подводных лодок, как дизель-электрических, так и атомных.

Статья уведена с www.securitylab.ru.

NetLan.ru жив уже 15 лет 131 день 10 часов 36 минут 21 секунда
СМК NetLan (Nettlesome Landloper) — некоммерческий интернет-ресурс.
Весь данный интернет-ресурс и всё созданное или размещённое на нём используется в личных целях.