I gruppi APT collegati alla Cina stanno prendendo di mira il settore della difesa russo con la backdoor di PortDoor. I ricercatori che hanno scoperto questa campagna di spionaggio non hanno nominato un particolare gruppo APT cinese responsabile dell’attacco. Tuttavia, hanno fatto alcune ipotesi plausibili.
Cos’è successo?
Secondo il Cybereason Nocturnus Team, i gruppi APT con sede in Cina stanno specificamente prendendo di mira uno dei principali centri russi che progettano sottomarini per la Marina russa, noto come Rubin Design Bureau.
- Gli aggressori hanno inviato messaggi di spear phishing a un direttore generale del Rubin Design Bureau, a San Pietroburgo.
- I messaggi di spear-phishing utilizzavano un documento RTF dannoso contenente informazioni su un veicolo subacqueo autonomo. Questi documenti dannosi forniscono la backdoor di PortDoor.
- I documenti RTF sono stati identificati dal Cybereason Nocturnus Team, quando stavano esaminando i recenti sviluppi nello strumento RoyalRoad o 8.t Dropper e RTF exploit builder.
- I documenti vengono creati con l’exploit builder e attivano le vulnerabilità CVE-2018-0798 , CVE-2018-0802 e CVE-2017-11882 in Microsoft Equation Editor.
I ricercatori non hanno attribuito la campagna a nessuno specifico attore di minacce a causa della mancanza di informazioni disponibili finora. Sebbene ci siano alcuni suggerimenti che indicano un’associazione con Tonto Team (aka TA428), l’inclusione di un gruppo di minacce cinesi completamente nuovo e sconosciuto non può essere negato. Ciò implica la crescente sofisticazione e il predominio degli attori cinesi delle minacce nel regno dello spionaggio informatico globale.