Контакты
Подписка 2021
МЕНЮ
Контакты
Подписка

Предположительно китайские хакеры атаковали российского разработчика атомных подлодок

04/05/21

РубинПредположительно работающая на китайское правительство киберпреступная группа атаковала российское оборонное предприятие, занимающееся разработкой атомных подводных лодок для военно-морского флота РФ.

Фишинговое письмо, отправленное злоумышленниками генеральному директору санкт-петербургского конструкторского бюро «Рубин», использовало инструмент для создания RTF-эксплоитов Royal Road для доставки на атакуемую систему ранее неизвестного бэкдора для Windows под названием PortDoor.

По словам специалистов команды Nocturnus ИБ-компании Cybereason, PortDoor имеет широкий функционал и способен осуществлять разведку, профилировать цели, доставлять дополнительную полезную нагрузку, повышать привилегии, обходить антивирусное ПО, использовать однобайтовое шифрование XOR, извлекать данные, зашифрованные с использованием стандарта AES, и пр.

В течение многих лет Royal Road является излюбленным инструментом целого ряда китайских хакерских группировок, в частности Goblin Panda, Rancor Group, TA428, Tick и Tonto Team, которые используют его в целенаправленных фишинговых атаках с конца 2018 года. Злоумышленники эксплуатируют уязвимости в Microsoft Equation Editor ( CVE-2017-11882 , CVE-2018-0798 и CVE-2018-0802 ) и используют вредоносные RTF-документы для доставки кастомного вредоносного ПО на системы ничего не подозревающих жертв.

Такой же тактики хакеры придерживались и в недавней атаке на гендиректора конструкторского бюро «Рубин» – главным вектором заражения были фишинговые письма. Тем не менее, если предыдущие версии Royal Road доставляли зашифрованную полезную нагрузку под названием «8.t», то в этот раз письмо содержало вредоносный документ, доставляющий при открытии зашифрованный файл с именем «eo» для извлечения импланта PortDoor. То есть, злоумышленники воспользовались новыми инструментами.

«Вектор заражения, стиль социальной инженерии, использование RoyalRoad в атаках на аналогичные цели и сходства между недавно обнаруженным бэкдором и другим известным вредоносным ПО китайских APT – все это указывает на злоумышленников, действующих в государственных интересах Китая», – сообщили исследователи.

Центральное конструкторское бюро морской техники «Рубин» – одно из ведущих советских и российских предприятий в области проектирования подводных лодок, как дизель-электрических, так и атомных.

Подробнее: https://www.securitylab.ru/news/519684.php

Темы:КитайПреступлениягосударственные кибератакивоенное оборудование

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2021
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ

Еще темы...