Ένα νέο backdoor που χρησιμοποιείται σε τρέχουσες εκστρατείες κυβερνοκατασκοπείας, έχει συνδεθεί με Κινέζους χάκερς. Σύμφωνα με την Check Point Research (CPR), το backdoor έχει σχεδιαστεί, αναπτυχθεί, δοκιμαστεί κι εξελιχθεί τα τελευταία τρία χρόνια, προκειμένου να παραβιάσει τα συστήματα του Υπουργείου Εξωτερικών της κυβέρνησης της Νοτιοανατολικής Ασίας.
Η αλυσίδα μόλυνσης του Windows-based malware ξεκίνησε με phishing emails, τα οποία πλαστογραφούσαν άλλα υπουργεία της ίδιας κυβέρνησης, όπου τα μέλη του προσωπικού στοχεύτηκαν με «οπλισμένα», official-looking έγγραφα που στάλθηκαν μέσω email. Εάν τα θύματα ανοίξουν τα αρχεία, «τραβούν» remote .RTF templates, ενώ παράλληλα αναπτύσσεται μια έκδοση του Royal Road, ενός RTF weaponizer. Το εργαλείο λειτουργεί εκμεταλλευόμενο ένα σύνολο ευπαθειών (CVE-2017-11882, CVE-2018-0798 και CVE-2018-0802) στο Equation Editor του Microsoft Word.
Διαβάστε επίσης: Κινέζοι χάκερς εκμεταλλεύτηκαν Pulse Secure VPN zero-day για να παραβιάσουν εργολάβους άμυνας των ΗΠΑ
Η CPR ανέφερε ότι το Royal Road είναι ιδιαίτερα δημοφιλές στις Κινεζικές APT hacking ομάδες. Το έγγραφο RTF περιέχει shellcode κι ένα κρυπτογραφημένο payload σχεδιασμένο για τη δημιουργία ενός προγραμματισμένου task και για την εκκίνηση time-scanning anti-sandboxing τεχνικών, καθώς και ένα downloader για το τελικό backdoor.
Το backdoor, με την ονομασία “VictoryDll_x86.dll”, έχει διάφορες λειτουργίες που είναι κατάλληλες για κατασκοπεία και την αποστολή δεδομένων σε C2 server.
Ανάμεσα σε αυτές περιλαμβάνονται η ανάγνωση / εγγραφή και διαγραφή αρχείων, η συγκομιδή λειτουργικού συστήματος και η δυνατότητα grabbing οθόνης, δημιουργίας ή τερματισμού διαδικασιών, απόκτησης τίτλων top-level παραθύρων κι επιλογής κλεισίματος υπολογιστών.
Δείτε ακόμη: Κινέζοι χάκερς παραβιάζουν email accounts μέσω του Microsoft Exchange Server!
Επιπλέον, το backdoor συνδέεται με έναν C2 για τη μεταφορά των κλεμμένων δεδομένων και αυτός ο server μπορεί επίσης να χρησιμοποιηθεί για την εκτέλεση πρόσθετων malware payloads. Οι C2s πρώτου σταδίου φιλοξενούνται στο Χονγκ Κονγκ και τη Μαλαισία, ενώ ο backdoor C2 server φιλοξενείται από πάροχο των ΗΠΑ.
Η CPR εκτιμά ότι το backdoor είναι έργο Κινέζων χάκερς λόγω του περιορισμένου επιχειρησιακού του προγράμματος – 1.00 π.μ. – 8.00 π.μ. UTC – η χρήση του Royal Road και λόγω δοκιμαστικών εκδόσεων του backdoor, που ανέβηκαν στο VirusTotal το 2018, που περιέχουν ελέγχους συνδεσιμότητας με τη διαδικτυακή διεύθυνση της Baidu.
Πρόταση: Το Bazar backdoor συνδέεται με εκστρατείες του Trickbot banking trojan
O Lotem Finkelsteen, επικεφαλής threat intelligence στην CPR, ανέφερε τα εξής: «Μάθαμε ότι οι επιτιθέμενοι δεν ενδιαφέρονται μόνο για ψυχρά δεδομένα, αλλά και για ό,τι συμβαίνει ανά πάσα στιγμή στον προσωπικό υπολογιστή ενός στόχου, με αποτέλεσμα την live κατασκοπεία. Παρόλο που καταφέραμε να εμποδίσουμε την επιχείρηση παρακολούθησης στην κυβέρνηση της Νοτιοανατολικής Ασίας, είναι πιθανό η ομάδα απειλής να χρησιμοποιεί το νέο της κυβερνο-όπλο και σε άλλους στόχους σε όλο τον κόσμο.»
Πηγή πληροφοριών: zdnet.com
