Добавить в корзинуПозвонить
Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

Китайские хакеры провели кибератаку на российского конструктора подводных лодок

600
2 мин
Компания по исследованию киберугроз Cybereason Nocturnus выявила действия хакеров (предположительно связанных с правительством Китая), направленные против внутренних систем Центрального конструкторского бюро морской техники «Рубин» в Санкт-Петербурге. Специалисты сообщают, что хакеры направили на корпоративный электронный адрес генерального директора компании Игоря Вильнита специально созданное фишинговое письмо, содержащее вредоносное вложение. Вредоносным вложением оказался RTF-файл, который содержал различную техническую информацию по подводным лодкам. Также файл включал в себя вредоносное ПО PortDoor: Исследователи из Cybereason Nocturnus отмечают, что присланный киберпреступниками RTF-файл был создан с использованием инструмента RoyalRoad, который применяется для разработки вредоносных документов, которые эксплуатируют уязвимости в Microsoft Equation Editor. Ранее применение хакерского инструмента RoyalRoad было связано с большим количеством киберпреступников и киберпреступных г

Компания по исследованию киберугроз Cybereason Nocturnus выявила действия хакеров (предположительно связанных с правительством Китая), направленные против внутренних систем Центрального конструкторского бюро морской техники «Рубин» в Санкт-Петербурге.

Специалисты сообщают, что хакеры направили на корпоративный электронный адрес генерального директора компании Игоря Вильнита специально созданное фишинговое письмо, содержащее вредоносное вложение.

Вредоносным вложением оказался RTF-файл, который содержал различную техническую информацию по подводным лодкам. Также файл включал в себя вредоносное ПО PortDoor:

-2

Исследователи из Cybereason Nocturnus отмечают, что присланный киберпреступниками RTF-файл был создан с использованием инструмента RoyalRoad, который применяется для разработки вредоносных документов, которые эксплуатируют уязвимости в Microsoft Equation Editor.

Ранее применение хакерского инструмента RoyalRoad было связано с большим количеством киберпреступников и киберпреступных групп, большинство из которых, как предполагают исследователи безопасности, связана с китайским правительством. Это хакерские группировки Tick, Tonto Team, TA428, Goblin Panda, Rancor, Naikon.

Если запустить вредоносный RTF-файл, то бэкдор PortDoor перемещается автоматически в папку автозагрузки Microsoft Word, маскируясь при этом под файл надстройки winlog.wll:

-3

В соответствии с исследованием, проведенным компанией Cybereason Nocturnus, вредоносное ПО PortDoor представлено в виде полноценного бэкдора с расширенным функционалом, что позволяет его использовать для решения множества преступных задач:

  • повышение привилегий;
  • профилирование взломанных систем;
  • скачивание дополнительной вредоносной полезной нагрузки с сервера управления и контроля;
  • разрешение динамического API для избегания статического обнаружения;
  • однобайтовое шифрование XOR;
  • кража конфиденциальных данных с шифрование AES.

В отчете, который был опубликован сегодня компанией Cybereason Nocturnus, описаны функции вредоносного ПО PortDoor и приведены индикаторы компрометации, с помощью чего организации смогут защититься от этого бэкдора.

Исследователи Cybereason Nocturnus отнесли PortDoor к хакерской группе, спонсируемой правительством Китая, на основании сходства в тактике, методах и процедурах, которые используются другими киберпреступниками, связанными с китайскими властями.

ЧИТАТЬ ВСЕ НОВОСТИ НА САЙТЕ | ПОДПИСЫВАЙТЕСЬ НА НАШ TELEGRAM КАНАЛ

6
Кибербезопасность
25,6 тыс интересуются