Concepteur de sous-marin nucléaire

Un acteur de la menace censé travailler au nom des intérêts soutenus par l’État chinois a récemment été observé en train de cibler un entrepreneur de défense basé en Russie impliqué dans la conception de sous-marins nucléaires pour le bras naval des forces armées russes.

L’attaque par hameçonnage, qui a distingué un directeur général travaillant au Bureau de conception Rubin, a exploité le tristement célèbre armement RTF (Rich Text Format) «Royal Road» pour créer une porte dérobée Windows précédemment non documentée.PortDoor», selon l’équipe de renseignements sur les menaces Nocturnus de Cybereason.

“Portdoor a de multiples fonctionnalités, y compris la capacité de faire de la reconnaissance, le profilage de la cible, la livraison de charges utiles supplémentaires, l’élévation des privilèges, la manipulation de processus, la détection statique, l’évasion antivirus, le cryptage XOR sur un octet, l’exfiltration de données cryptées AES et plus”, les chercheurs mentionné dans un article vendredi.

auditeur de mot de passe

Rubin Design Bureau est un centre de conception de sous-marins situé à Saint-Pétersbourg, représentant la conception de plus 85% des sous-marins dans la marine soviétique et russe depuis ses origines en 1901, y compris plusieurs générations de sous-marins de croiseurs de missiles stratégiques.

Concepteur de sous-marin nucléaire
Contenu du document RTF militarisé

Au fil des ans, Royal Road a gagné sa place en tant que outil de choix parmi un éventail d’acteurs de menace chinois tels que Goblin Panda, Rancor Group, TA428, Tick et Tonto Team. Connu pour exploiter de multiples failles dans Microsoft Éditeur d’équations (CVE-2017-11882, CVE-2018-0798 et CVE-2018-0802) dès la fin de 2018, les attaques prennent la forme de campagnes ciblées de spear-phishing qui utilisent des documents RTF malveillants pour diffuser des logiciels malveillants personnalisés à des niveaux sans méfiance. -valeurs cibles.

Cette attaque récemment découverte n’est pas différente, l’adversaire utilisant un e-mail de spear-phishing adressé à l’entreprise de conception de sous-marins comme vecteur d’infection initial. Cet e-mail est livré avec un document contenant des logiciels malveillants, qui, une fois ouvert, supprime un fichier encodé appelé «eo» pour récupérer l’implant PortDoor. La charge utile codée abandonnée par les versions précédentes de Royal Road porte généralement le nom de “8.t”, ce qui implique une nouvelle variante de l’arme en cours d’utilisation.

Dit être conçu avec l’obscurcissement et la persistance à l’esprit, PortDoor exécute la gamme de portes dérobées avec un large éventail de fonctionnalités qui lui permettent de profiler la machine victime, d’élever les privilèges, de télécharger et d’exécuter des charges utiles arbitraires reçues d’un serveur contrôlé par un attaquant et d’exporter les résultats sont renvoyés au serveur.

“Le vecteur d’infection, le style d’ingénierie sociale, l’utilisation de RoyalRoad contre des cibles similaires et d’autres similitudes entre l’échantillon de porte dérobée nouvellement découvert et d’autres logiciels malveillants APT chinois connus portent tous les caractéristiques d’un acteur de la menace agissant au nom d’intérêts parrainés par l’État chinois”, les chercheurs ont dit.



Leave a Reply