Uviet-Net Logo Khoa Học Công nghệ Tin Thế giới Không gian NASA Công Nghệ Quốc Phòng Thủ Thuật Điện Ảnh Động Vật

Tin tặc Trung Quốc bị tình nghi nhắm mục tiêu vào nhà thiết kế tàu ngầm Hạt nhân của Nga

Ngày:_ 03/05/2021  
Zcomity (03/5/2021): Các tin tặc bị nghi ngờ làm việc cho chính phủ Trung Quốc đã sử dụng một phần mềm độc hại mới có tên là PortDoor để xâm nhập vào hệ thống của một công ty kỹ thuật thiết kế tàu ngầm dành cho Hải quân Nga.
Họ đã sử dụng một email lừa đảo được chế tạo đặc biệt để thu hút vị tổng giám đốc của công ty mở một tài liệu độc hại.
China Hack

Nhắm mục tiêu cụ thể

Kẻ đe dọa đã nhắm mục tiêu đến Cục Thiết kế Trung tâm Rubin về Kỹ thuật Hàng hải ở Saint Petersburg, một nhà thầu quốc phòng đã thiết kế hầu hết các tàu ngầm hạt nhân của Nga.
Phương pháp phân phối backdoor là một tài liệu RTF được vũ khí hóa đính kèm với một email gửi đến Giám đốc điều hành công ty, Igor V. Vilnit.
Các nhà nghiên cứu về mối đe dọa tại Cybereason Nocturnus phát hiện ra rằng kẻ tấn công đã dụ người nhận mở tài liệu độc hại với mô tả chung về một phương tiện tự lái dưới nước.
china Hack 2


Tìm hiểu sâu hơn, các nhà nghiên cứu phát hiện ra rằng tệp RTF đã được vũ khí hóa bằng cách sử dụng RoyalRoad, một công cụ xây dựng các tài liệu độc hại nhằm khai thác nhiều lỗ hổng trong Microsoft’s Equation Editor.
Việc sử dụng RoyalRoad trong quá khứ đã được liên kết với một số tác nhân đe dọa làm việc thay mặt cho chính phủ Trung Quốc, như Tick, Tonto Team, TA428, Goblin Panda, Rancor, Naikon.
Khi được khởi chạy, tài liệu RTF thả cửa hậu PortDoor trong thư mục khởi động Microsoft Word, ngụy trang nó thành một tệp bổ trợ, “winlog.wll.”

Theo phân tích của Cybereason, PortDoor là một dạng backdoor (cổng hậu tuồng dữ liệu) chính thức với danh sách mở rộng các tính năng giúp nó phù hợp với nhiều tác vụ khác nhau:
  1. Làm trinh sát
  2. Lập hồ sơ hệ thống nạn nhân
  3. Tải xuống tải trọng từ máy chủ lệnh và điều khiển
  4. Leo thang đặc quyền
  5. Phân giải API động để né tránh phát hiện 
  6. Mã hóa XOR một byte (dữ liệu nhạy cảm, cấu hình)
  7. Lọc dữ liệu được mã hóa AES
Trong một báo cáo kỹ thuật ngày hôm nay, Cybereason Nocturnus Team mô tả chức năng của phần mềm độc hại và cung cấp các chỉ số về sự xâm phạm để giúp các tổ chức chống lại nó.
Các nhà nghiên cứu cho rằng PortDoor là một nhóm tin tặc do nhà nước Trung Quốc bảo trợ dựa trên những điểm tương đồng về chiến thuật, kỹ thuật và quy trình với các tác nhân đe dọa khác có liên quan đến Trung Quốc.
Dựa trên công việc từ nhà nghiên cứu bảo mật nao_sec, Cybereason có thể xác định rằng tài liệu RTF độc hại đã được tạo bằng RoaylRoad v7 với mã hóa tiêu đề liên quan đến các hoạt động từ Tonto Team (còn gọi là CactusPete), Rancor và TA428.
CactusPete và TA428 được biết đến với việc tấn công các tổ chức ở Đông Âu (Nga) và Châu Á [1, 2, 3, 4]. Hơn nữa, Cybereason đã nhìn thấy các yếu tố ngôn ngữ và hình ảnh trong email lừa đảo PortDoor và các tài liệu giống như mồi nhử trong các cuộc tấn công từ Tonto Team.
Tuy nhiên, ở cấp độ mã, PortDoor không có những điểm tương đồng đáng kể với các phần mềm độc hại khác được sử dụng bởi các nhóm nói trên, cho thấy rằng đây là một cửa hậu mới.
Sự ghi nhận của Cybereason về PortDoor không đi kèm với mức độ tin cậy cao. Các nhà nghiên cứu nhận thức được rằng các nhóm khác có thể đứng sau phần mềm độc hại này. Tuy nhiên, bằng chứng hiện tại cho thấy kẻ tấn công có nguồn gốc từ Trung Quốc.

www.Zcomity.com