• InternationalIT

Novo malware chinês ataca empresa que projeta submarinos nucleares da Rússia

Atualizado: há 5 dias

Hackers suspeitos de trabalhar para o governo chinês usaram um novo malware chamado PortDoor para se infiltrar nos sistemas de uma empresa de engenharia que projeta submarinos para a Marinha Russa.


Eles usaram um e-mail de spear-phishing criado especificamente para induzir o diretor geral da empresa a abrir um documento malicioso.

VEJA TAMBÉM: Caso SolarWinds: EUA expulsam 10 diplomatas Russos por causa de ataque cibernético


O ataque de phishing, que tinha como foco um diretor geral que trabalha no Rubin Design Bureau, utilizou o já famoso "Royal Road" Rich Text Format (RTF) para entregar um backdoor do Windows que ainda não havia sido documentado apelidado de "PortDoor".


Sobre esse malware, os pesquisadores da equipe de inteligência Nocturnus da Cybereason, afirmam:

O Portdoor tem várias funcionalidades, incluindo a capacidade de fazer reconhecimento, criação de perfil de destino, entrega de cargas adicionais, escalonamento de privilégios, manipulação de processos, detecção de evasão antivírus, criptografia XOR de um byte, exfiltração de dados criptografados AES e muito mais.

Rubin Design Bureau é um centro que projeta submarinos, localizado em São Petersburgo, e responsável por projetar mais de 85% dos submarinos da Marinha soviética e russa desde suas origem em 1901.


Nos últimos anos, a ferramenta Royal Road se tornou muito utilizada por grupos de hackers chineses, como Goblin Panda, Rancor Group, TA428, Tick e Tonto Team. Esse ataque explora várias falhas no Equation Editor da Microsoft (CVE-2017-11882, CVE-2018-0798 e CVE-2018-0802) em formato de campanhas de spear-phishing que utilizam Documentos RTF infectados para entregar malwares personalizados para alvos de alto valor.


Os pesquisadores da Cybereason Nocturnus descobriram que o invasor induziu o destinatário a abrir o documento malicioso que possuía uma descrição de um veículo subaquático autônomo.

Documento RTF com PortDoor backdoor
Documento RTF com PortDoor backdoor

SAIBA MAIS: As 10 principais etapas da Segurança Cibernética


O documento RTF gera um arquivo de suplemento do Microsoft Word quando é aberto e executado, escapando de detecções automáticas. Esse arquivo, chamado de winlog.wll, apresenta os seguintes recursos:

  • Reconhecer e coletar o perfil da máquina da vítima

  • Receber comandos e baixar cargas úteis adicionais do servidor C2

  • Comunicação com o servidor C2 usando raw socket, assim como HTTP na porta 443 com suporte de autenticação de proxy

  • Escalada de privilégios e manipulação de processos

  • Resolução de API dinâmica para evasão de detecção estática

  • Criptografia XOR de um byte de dados confidenciais e strings de configuração

  • As informações coletadas são criptografadas com AES antes de serem enviadas para o servidor C2

Por fim, os pesquisadores concluem:

O vetor de infecção, o estilo de engenharia social, o uso de RoyalRoad contra alvos parecidos e outras semelhanças entre a amostra backdoor recém-descoberta e outro malware APT chinês conhecido, trazem as marcas de um ator de ameaça operando em nome de interesses patrocinados pelo Estado chinês.

Fontes: The Hacker News e Teiss

Não espere até ser atacado


Deixe seu e-mail conosco para conhecer soluções avançadas, robustas e seguras de CyberSecurity.


50 visualizações0 comentário