Die Spionage-Malware PortDoor nimmt den russischen Verteidigungssektor ins Visier

Cyber Security News

Die getarnte Backdoor wird wahrscheinlich von chinesischen APTs genutzt, so die Forscher.

Eine bisher nicht dokumentierte Backdoor-Malware mit dem Namen PortDoor wird laut Forschern von einem wahrscheinlich chinesischen Advanced Persistent Threat Actor (APT) verwendet, um den russischen Verteidigungssektor anzugreifen.

Das Cybereason Nocturnus Team beobachtete, dass die Cyberkriminellen es speziell auf das Rubin Design Bureau abgesehen hatten, das U-Boote für die Marine der Russischen Föderation entwickelt. Das ursprüngliche Ziel des Angriffs war ein Generaldirektor dort namens Igor Vladimirovich, sagte Forscher, die eine Phishing-E-Mail erhalten.

Nehmen Sie an Threatposts LIVE-Roundtable-Veranstaltung “Fortifying Your Business Against Ransomware, DDoS & Cryptojacking Attacks” am Mittwoch, den 12. Mai um 14:00 Uhr EDT teil. Dieses KOSTENLOSE Webinar wird von Zoho ManageEngine gesponsert.

Der Angriff begann mit dem RoyalRoad Weaponizer, auch bekannt als 8.t Dropper/RTF Exploit Builder – ein Tool, das laut Cybereason zum Arsenal mehrerer chinesischer APTs gehört, wie Tick, Tonto Team und TA428. RoyalRoad generiert waffenfähige RTF-Dokumente, die Schwachstellen in Microsofts Equation Editor ausnutzen (CVE-2017-11882, CVE-2018-0798 und CVE-2018-0802).

Die Verwendung von RoyalRoad ist einer der Gründe, warum das Unternehmen chinesische Cyberkriminelle hinter dem Angriff vermutet.

“Die gesammelten Beweise, wie der Infektionsvektor, der Social-Engineering-Stil, die Verwendung von RoyalRoad gegen ähnliche Ziele und andere Ähnlichkeiten zwischen dem neu entdeckten Backdoor-Sample und anderer bekannter chinesischer APT-Malware, weisen alle auf einen Bedrohungsakteur hin, der im Auftrag chinesischer staatlicher Interessen operiert”, heißt es in einer am Freitag veröffentlichten Analyse von Cybereason.

Eine stille Spionage-Malware

Das RoyalRoad-Tool wurde dabei beobachtet, wie es das einzigartige PortDoor-Beispiel abruft, sobald das bösartige RTF-Dokument geöffnet wird, das den Forschern zufolge mit dem Ziel der Heimlichkeit entwickelt wurde. Es verfügt über mehrere Funktionen, darunter die Fähigkeit zur Aufklärung, Zielprofilerstellung, Lieferung zusätzlicher Nutzlasten, Privilegienerweiterung, Prozessmanipulation, Umgehung statischer Erkennung von Antivirenprogrammen, Ein-Byte-XOR-Verschlüsselung, AES-verschlüsselte Datenexfiltration und mehr.

Nach der Ausführung entschlüsselt die Backdoor die Zeichenketten mit einem hartcodierten 0xfe-XOR-Schlüssel, um ihre Konfigurationsinformationen abzurufen. Dazu gehören die Adresse des Command-and-Control-Servers (C2), eine Opferkennung und einige andere kleinere Informationen.

Die Malware erstellt dann eine zusätzliche Datei in %temp% mit dem hartcodierten Namen “58097616.tmp” und schreibt den GetTickCount-Wert multipliziert mit einer Zufallszahl in diese Datei: “Dies kann als zusätzlicher Identifikator für das Ziel und auch als Platzhalter für das vorherige Vorhandensein dieser Malware verwendet werden”, erklärten die Forscher.

Danach baut er seine C2-Verbindung auf, die den Datentransfer per TCP über Raw Sockets oder per HTTPS – mit Proxy-Unterstützung – ermöglicht. An dieser Stelle sagte Cybereason, dass PortDoor auch die Fähigkeit hat, eine Privilegienerweiterung zu erreichen, indem es explorer.exe-Token stiehlt.

Anschließend sammelt die Malware grundlegende PC-Informationen, die sie an den C2 sendet, der sie mit einer eindeutigen Kennung bündelt, woraufhin sie auf weitere Anweisungen wartet.

Die C2-Befehle sind vielfältig: Laufende Prozesse auflisten Prozess öffnen Freien Speicherplatz in logischen Laufwerken ermitteln Aufzählung der Dateien Datei löschen Datei verschieben Prozess mit verstecktem Fenster anlegen Datei für gleichzeitige Operationen öffnen Schreiben in Datei Griff schließen Datei öffnen und direkt auf Platte schreiben Nach der Zeichenkette “Kr*^j4” suchen Pipe anlegen, Daten daraus kopieren und AES-verschlüsseln Daten in Datei schreiben, mit “n” anhängen Daten in Datei schreiben, mit “exitn” anhängen

PortDoor verwendet auch eine Anti-Analyse-Technik, die als dynamisches API-Resolving bekannt ist, so die Analyse.

“Die Backdoor ist in der Lage, den Großteil ihrer Hauptfunktionalität zu verstecken und die statische Erkennung verdächtiger API-Aufrufe zu vermeiden, indem sie ihre API-Aufrufe dynamisch auflöst, anstatt statische Importe zu verwenden”, erklärten die Forscher.

Chinesische APTs im Cyberattacken-Mix – wahrscheinlich

Die Analyse von Cybereason ergab keinen spezifischen chinesischen APT-Akteur, der wahrscheinlich für den Angriff verantwortlich sein könnte. Die Forscher sagten jedoch, dass sie einige fundierte Vermutungen anstellen konnten.

“Es gibt ein paar bekannte chinesische APT-Gruppen, die einige Ähnlichkeiten mit dem Bedrohungsakteur hinter den neuen analysierten Malware-Samples aufweisen”, heißt es in dem Bericht.

Zum Beispiel wurde die RTF-Datei, die bei dem Angriff verwendet wurde, mit RoyalRoad v7 bewaffnet, das zuvor von den APTs Tonto Team, TA428 und Rancor verwendet wurde.

“Sowohl das Tonto Team als auch TA428 wurden in der Vergangenheit bei Angriffen auf russische Organisationen beobachtet, insbesondere bei Angriffen auf Ziele in den Bereichen Forschung und Verteidigung”, heißt es in der Analyse. “Beim Vergleich der Spear-Phishing-E-Mails und bösartigen Dokumente in diesen Angriffen mit zuvor untersuchten Phishing-E-Mails und Köder-Dokumenten, die vom Tonto-Team für Angriffe auf russische Organisationen verwendet wurden, gibt es gewisse Ähnlichkeiten im sprachlichen und visuellen Stil, der von den Angreifern in den Phishing-E-Mails und -Dokumenten verwendet wird.”

Dennoch weist die PortDoor-Malware keine signifikanten Code-Ähnlichkeiten mit bereits bekannter Malware auf, die von diesen Gruppen verwendet wurde – was Cybereason zu der Schlussfolgerung veranlasst, dass es sich nicht um eine Variante einer bekannten Malware handelt, was sie für die Zuordnungsbemühungen nutzlos macht.

“Schließlich sind wir uns auch bewusst, dass andere Gruppen, bekannte oder noch unbekannte, hinter dem Angriff und der Entwicklung der PortDoor-Backdoor stecken könnten”, so die Forscher abschließend. “Wir hoffen, dass mit der Zeit und mit mehr gesammelten Beweisen die Zuschreibung konkreter sein könnte.”

Laden Sie unser exklusives KOSTENLOSES Threatpost Insider eBook “2021: The Evolution of Ransomware”, um Ihre Cyber-Abwehrstrategien gegen diese wachsende Geißel zu verbessern. Wir gehen über den Status quo hinaus und decken auf, was als Nächstes auf Ransomware und die damit verbundenen neuen Risiken zukommt. Holen Sie sich die ganze Geschichte und DOWNLOADen Sie das eBook jetzt – bei uns!

Einige Teile dieses Artikels stammen aus:
threatpost.com