هکرهایی که مشکوک به کشور چین از بدافزار جدیدی به نام PortDoor برای نفوذ در سیستم های یک شرکت مهندسی که زیر دریایی ها را برای نیروی دریایی روسیه طراحی می کند ، استفاده کرده اند.

آنها برای نفوذ سایبری به سازنده زیردریایی روسیه از ایمیل فیشینگ برای جلب توجه مدیر کل شرکت در گشودن پیوست ایمیل که در واقع یک بدافزار بوده است استفاده کرده اند.

هدف گذاری خاص

عامل تهدید دفتر مرکزی طراحی روبین برای مهندسی دریایی در سن پترزبورگ را هدف قرار داد ، پیمانکاری دفاعی که بیشتر زیردریایی های هسته ای روسیه را طراحی کرده است.
روش ایحاد درب پشتی برای نفوذ سایبری به سازنده زیردریایی روسیه یک فایل RTF مسلحانه بود که به ایمیل ارسال شده برای مدیر عامل شرکت ، Igor V. Vilnit پیوست شده بود.

ده تا از جدیدترین و خطرناکترین ویروس و تهدیدات مخرب در سال 2020

محققان امنیتی در Cybereason Nocturnus دریافتند که مهاجم گیرنده را فریب داده است تا فایل بدافزار را که بعنوان یک گزارش در خصوص اطلاعات فنی یک وسیله نقلیه مستقل زیر آب پیوست شده بود را باز کند.
با انجام تحقیقات بیشتر ، محققان کشف کردند که پرونده RTF با استفاده از RoyalRoad ، ابزاری برای ساخت اسناد مخرب برای سوء استفاده از چندین آسیب پذیری در Microsoft’s Equation Editor ، ایجاد شده است.

 

استفاده از RoyalRoad در گذشته توسط چندین گروه از مجرمان اینترنتی ، مانند Tick ، Tonto Team ، TA428 ، Goblin Panda ، Rancor ، Naikon استفاده شده است

هنگام راه اندازی ، سند RTF بک دور PortDoor را در پوشه راه اندازی Microsoft Word ریخته و آن را به عنوان یک پرونده الحاقی ، “winlog.wll” و یک افزونه ورد تبدیل می کند.

هنگام راه اندازی ، سند RTF بک دور PortDoor را در پوشه راه اندازی Microsoft Word ریخته و آن را به عنوان یک پرونده الحاقی ، "winlog.wll" و یک افزونه ورد تبدیل می کند.

 

طبق تجزیه و تحلیل Cybereason ، PortDoor یک درب پشتی تمام عیار است و دارای لیست گسترده ای از ویژگی ها است که آن را برای کارهای مختلف مناسب می کند:

در یک گزارش فنی ، تیم Cybereason Nocturnus عملکرد بدافزار را توصیف کرده و راهکارهای لازم  را برای کمک به سازمان ها در دفاع از آن ارائه می دهد.

براساس تحقیقات محقق امنیت nao_sec ، Cybereason توانست تشخیص دهد که سند RTF مخرب با RoaylRoad v7 با رمزگذاری هدر همراه با عملیات از Tonto Team (با نام دیگر CactusPete) ، Rancor و TA428 ایجاد شده است.

ابزار لازم برای بازگشایی فایل های رمز گذاری شده از اینجا قابل دانلود است.

لینک مطلب

 

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

*

code