Предположительно работающая на китайское правительство киберпреступная группа атаковала российское оборонное предприятие, занимающееся разработкой атомных подводных лодок для военно-морского флота РФ.
Фишинговое письмо, отправленное злоумышленниками генеральному директору санкт-петербургского конструкторского бюро «Рубин», использовало инструмент для создания RTF-эксплоитов Royal Road для доставки на атакуемую систему ранее неизвестного бэкдора для Windows под названием PortDoor.
По словам специалистов команды Nocturnus ИБ-компании Cybereason, PortDoor имеет широкий функционал и способен осуществлять разведку, профилировать цели, доставлять дополнительную полезную нагрузку, повышать привилегии, обходить антивирусное ПО, использовать однобайтовое шифрование XOR, извлекать данные, зашифрованные с использованием стандарта AES, и пр.
В течение многих лет Royal Road является излюбленным инструментом целого ряда китайских хакерских группировок, в частности Goblin Panda, Rancor Group, TA428, Tick и Tonto Team, которые используют его в целенаправленных фишинговых атаках с конца 2018 года. Злоумышленники эксплуатируют уязвимости в Microsoft Equation Editor ( CVE-2017-11882 , CVE-2018-0798 и CVE-2018-0802 ) и используют вредоносные RTF-документы для доставки кастомного вредоносного ПО на системы ничего не подозревающих жертв.
Такой же тактики хакеры придерживались и в недавней атаке на гендиректора конструкторского бюро «Рубин» – главным вектором заражения были фишинговые письма. Тем не менее, если предыдущие версии Royal Road доставляли зашифрованную полезную нагрузку под названием «8.t», то в этот раз письмо содержало вредоносный документ, доставляющий при открытии зашифрованный файл с именем «eo» для извлечения импланта PortDoor. То есть, злоумышленники воспользовались новыми инструментами.
«Вектор заражения, стиль социальной инженерии, использование RoyalRoad в атаках на аналогичные цели и сходства между недавно обнаруженным бэкдором и другим известным вредоносным ПО китайских APT – все это указывает на злоумышленников, действующих в государственных интересах Китая», – сообщили исследователи.
Центральное конструкторское бюро морской техники «Рубин» – одно из ведущих советских и российских предприятий в области проектирования подводных лодок, как дизель-электрических, так и атомных.
