Presuntos hackers del estado chino apuntan al diseñador de submarinos rusos

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Los piratas informáticos sospechosos de trabajar para el gobierno chino han utilizado un nuevo malware llamado PortDoor para infiltrarse en los sistemas de una empresa de ingeniería que diseña submarinos para la Armada rusa.

Utilizaron un correo electrónico de spear-phishing diseñado específicamente para atraer al director general de la empresa a abrir un documento malicioso.

Orientación específica

El actor de la amenaza apuntó a la Oficina Central de Diseño de Rubin para Ingeniería Marina en San Petersburgo, un contratista de defensa que diseñó la mayoría de los submarinos nucleares de Rusia.

El método para entregar la puerta trasera fue un documento RTF armado adjunto a un correo electrónico dirigido al CEO de la empresa, Igor V. Vilnit.

Los investigadores de amenazas de Cybereason Nocturnus descubrieron que el atacante atrajo al destinatario para que abriera el documento malicioso con una descripción general de un vehículo submarino autónomo.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Profundizando, los investigadores descubrieron que el archivo RTF se había armado con RoyalRoad, una herramienta para crear documentos maliciosos para explotar múltiples vulnerabilidades en el Editor de ecuaciones de Microsoft.

El uso de RoyalRoad se ha vinculado en el pasado a varios actores de amenazas que trabajan en nombre del gobierno chino, como Tick, Tonto Team, TA428, Goblin Panda, Rancor, Naikon.

Cuando se inicia, el documento RTF suelta la puerta trasera de PortDoor en la carpeta de inicio de Microsoft Word y lo disfraza como un archivo de complemento, "winlog.wll".

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Según el análisis de Cybereason, PortDoor es una puerta trasera en toda regla con una lista extendida de características que la hacen adecuada para una variedad de tareas:

    Haciendo reconocimiento
    Perfiles de sistemas de víctimas
    Descarga de cargas útiles desde el servidor de comando y control
    Escalada de privilegios
    API dinámica que resuelve evadir la detección estática
    Cifrado XOR de un byte (datos confidenciales, configuración)
    Exfiltración de datos cifrados con AES

En un informe técnico de hoy, Cybereason Nocturnus Team describe la funcionalidad del malware y proporciona indicadores de compromiso para ayudar a las organizaciones a defenderse.

Los investigadores atribuyeron PortDoor a un grupo de piratas informáticos patrocinado por el estado chino basándose en similitudes en tácticas, técnicas y procedimientos con otros actores de amenazas vinculados a China.

Basado en el trabajo del investigador de seguridad nao_sec, Cybereason pudo determinar que el documento RTF malicioso se creó con RoaylRoad v7 con una codificación de encabezado asociada con operaciones de Tonto Team (también conocido como CactusPete), Rancor y TA428.

CactusPete y TA428 son conocidos por atacar organizaciones en Europa del Este (Rusia) y Asia. Además, Cybereason vio elementos lingüísticos y visuales en el correo electrónico y documentos de phishing de PortDoor que se asemejan a los señuelos de los ataques del equipo de Tonto.

Sin embargo, a nivel de código, PortDoor no comparte similitudes significativas con otro malware utilizado por los grupos antes mencionados, lo que indica que se trata de una nueva puerta trasera.

La atribución de Cybereason de PortDoor no viene con un alto nivel de confianza. Los investigadores son conscientes de que otros grupos pueden estar detrás de este malware. Sin embargo, la evidencia actual apunta a un atacante de origen chino.

    "Por último, también somos conscientes de que podría haber otros grupos, conocidos o aún desconocidos, que podrían estar detrás del ataque y el desarrollo de la puerta trasera PortDoor. Esperamos que a medida que pase el tiempo, y con más evidencia reunida, la atribución sea más concreta"- Cybereason

Fuente:
BleepingComputer
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta