Recientemente se observó a un actor de amenazas que se cree que trabaja en nombre de intereses patrocinados por el Estado chino esta apuntando a un contratista de defensa con sede en Rusia involucrado en el diseño de submarinos nucleares para el brazo naval de las Fuerzas Armadas rusas.
El ataque de phishing, que señaló a un director general que trabajaba en la Oficina de Diseño de Rubin, aprovechó el infame armamento "Royal Road" Rich Text Format (RTF) para entregar una puerta trasera de Windows previamente indocumentada apodada"PortDoor",según el equipo de inteligencia de amenazas nocturnus de Cybereason.
"Portdoor tiene múltiples funcionalidades, incluyendo la capacidad de hacer reconocimiento, perfiles de objetivos, entrega de cargas útiles adicionales, escalada de privilegios, evasión antivirus de detección estática de manipulación de procesos, cifrado XOR de un byte, exfiltración de datos cifrados con AES y más", dijeron los investigadores en una redacción el viernes.
Rubin Design Bureau es un centro de diseño de submarinos ubicado en San Petersburgo, que representa el diseño de más del 85% de los submarinos de la Armada soviética y rusa desde sus orígenes en 1901, incluyendo varias generaciones de submarinos de crucero de misiles estratégicos.
A lo largo de los años, Royal Road se ha ganado su lugar como una herramienta de elección entre una variedad de actores de amenazas chinos como Goblin Panda, Rancor Group, TA428, Tick y Tonto Team. Conocido por explotar múltiples defectos en el Editor de Ecuaciones de Microsoft (CVE-2017-11882, CVE-2018-0798 y CVE-2018-0802) ya a finales de 2018, los ataques toman la forma de campañas de spear-phishing dirigidas que utilizan documentos RTF maliciosos para entregar malware personalizado a objetivos de alto valor desprevenidos.
Este ataque recién descubierto no es diferente, con el adversario usando un correo electrónico de spear-phishing dirigido a la firma de diseño submarino como vector de infección inicial. Mientras que las versiones anteriores de Royal Road se encontraron para dejar caer cargas útiles codificadas con el nombre de "8.t", el correo electrónico viene incrustado con un documento con cordones de malware, que, cuando se abre, entrega un archivo codificado llamado "e.o" para obtener el implante PortDoor, lo que implica una nueva variante del armador en uso.
Se dice que está diseñado con ofuscación y persistencia en mente, PortDoor ejecuta la gama de puerta trasera con una amplia gama de características que le permiten perfilar la máquina víctima, escalar privilegios, descargar y ejecutar cargas útiles arbitrarias recibidas de un servidor controlado por atacantes, y exportar los resultados de nuevo al servidor.
"El vector de infección, el estilo de ingeniería social, el uso de RoyalRoad contra objetivos similares y otras similitudes entre la muestra de puerta trasera recién descubierta y otro malware APT chino conocido llevan las características de un actor de amenazas que opera en nombre de intereses patrocinados por el Estado chino", dijeron los investigadores.
