Presuntos piratas del Estado chino apuntan al diseñador de submarinos ruso

Los piratas informáticos sospechosos de trabajar para el gobierno chino utilizaron un nuevo malware llamado PortDoor para infiltrarse en los sistemas de una empresa de ingeniería que diseña submarinos para la Armada rusa.

Utilizaron un correo electrónico de spear phishing especialmente creado para engañar al director ejecutivo de la empresa para que abriera un documento malicioso.

Orientación específica

El actor de la amenaza apuntó a la Oficina Central de Diseño Rubin para Ingeniería Marina en San Petersburgo, un contratista de defensa que diseñó la mayoría de los submarinos nucleares de Rusia.

El método para entregar la puerta trasera fue un documento RTF armado adjunto a un correo electrónico dirigido al CEO de la compañía, Igor V. Vilnit.

Los investigadores de amenazas de Cybereason Nocturnus encontraron que el atacante engañó al destinatario para que abriera el documento malicioso con una descripción general de un vehículo submarino autónomo.

Profundizando, los investigadores encontraron que el archivo RTF se había utilizado como un arma usando RoyalRoad, una herramienta para crear documentos maliciosos para explotar múltiples vulnerabilidades en el Editor de ecuaciones de Microsoft.

El uso de RoyalRoad se ha vinculado en el pasado a varios actores de amenazas que trabajan en nombre del gobierno chino, como Tick, Tonto Team, TA428, Goblin Panda, Rancor, Naikon.

Cuando se inicia, el documento RTF coloca la puerta trasera de PortDoor en la carpeta de inicio de Microsoft Word y la enmascara como un archivo adicional, "winlog.wll".

Según el análisis de Cybereason, PortDoor es una puerta trasera en toda regla con una lista extendida de características que la hacen adecuada para una variedad de tareas:

• Recon
• Perfiles de los sistemas de víctimas
• Descargue cargas útiles desde el servidor de comando y control
• Privilegios incrementados
• API dinámica que resuelve eludir la detección estática
• Cifrado XOR de un byte (datos confidenciales, configuración)
• Exfiltración de datos cifrados AES

en un reporte técnico hoy, Cybereason Nocturnus Team describe la funcionalidad del malware y proporciona indicadores de compromiso para ayudar a las organizaciones a defenderse.

Los investigadores atribuyeron PortDoor a un grupo de piratas informáticos patrocinado por el estado chino basándose en similitudes en tácticas, técnicas y procedimientos con otros actores de amenazas relacionados con China.

Basado en el trabajo de un investigador de seguridad nao_sec, Cybereason pudo determinar que el documento RTF malicioso se creó con RoaylRoad v7 con una codificación de encabezado asociada con las operaciones de Tonto Team (también conocido como CactusPete), Rancor y TA428.

Se sabe que CactusPete y TA428 atacan a organizaciones en Europa del Este (Rusia) y Asia [1, 2, 3, 4]. Además, Cybereason vio elementos lingüísticos y visuales en los correos electrónicos y documentos de phishing de PortDoor que se asemejan al señuelo en los ataques del equipo Tonto.

Sin embargo, programáticamente, PortDoor no comparte similitudes significativas con otro malware utilizado por los grupos antes mencionados, lo que indica que es una nueva puerta trasera.

La atribución de Cybereason a PortDoor no viene con un alto nivel de confianza. Los investigadores son conscientes de que otros grupos pueden estar detrás de este malware. Sin embargo, la evidencia actual apunta a un atacante de ascendencia china.

“Finalmente, también somos conscientes de que puede haber otros grupos, conocidos o aún desconocidos, que pueden estar detrás del ataque y el desarrollo de la puerta trasera PortDoor. Esperamos que con el paso del tiempo y con más evidencias reunidas, la atribución sea más concreta "- Cyberazon