Een nieuwe achterdeur die wordt gebruikt in lopende cyberspionagecampagnes is in verband gebracht met Chinese dreigingsactoren.
Donderdag zei Check Point Research (CPR) dat de achterdeur de afgelopen drie jaar is ontworpen, ontwikkeld, getest en ingezet om de systemen van het ministerie van Buitenlandse Zaken van een Zuidoost-Aziatische regering in gevaar te brengen. .
De infectieketen van de op Windows gebaseerde malware begon met spear-phishing-berichten, die zich voordeden als andere afdelingen in dezelfde regering, waarbij personeelsleden het doelwit werden van bewapende, officieel ogende documenten die via e-mail werden verzonden.
< /p>
Als slachtoffers de bestanden openen, worden externe .RTF-sjablonen opgehaald en wordt een versie van Royal Road, een RTF-wapenprogramma, ingezet.
De tool werkt door misbruik te maken van een reeks kwetsbaarheden in de Equation Editor van Microsoft Word (CVE-2017-11882, CVE-2018-0798 en CVE-2018-0802).
CPR zegt dat Royal Road “vooral populair is bij Chinese [advanced persistent threat] APT-groepen.”
Het RTF-document bevat shellcode en een versleutelde payload die is ontworpen om een geplande taak te creëren en anti-sandboxing-technieken voor tijdscannen te starten, evenals een downloader voor de laatste achterdeur.
Nagesynchroniseerd als “VictoryDll_x86.dll”, is de achterdeur ontwikkeld om een aantal functies te bevatten die geschikt zijn voor spionage en exfiltratie van gegevens naar een command-and-control server (C2).
Heb je een tip? Neem veilig contact op via WhatsApp | Signaal op +447713 025 499, of via Keybase: charlie0
Verwante onderwerpen:
China Security TV Data Management CXO Datacenters 