En ny bakdörr som används i pågående cyberspionagekampanjer har kopplats till kinesiska hotaktörer.
På torsdag sa Check Point Research (CPR) att bakdörren har designats, utvecklats, testats och distribuerats under de senaste tre åren för att kompromissa med systemen för en sydostasiatiska regerings utrikesministerium .
Den Windows-baserade skadliga programmets infektionskedja började med spear phishing-meddelanden, som imiterar andra avdelningar i samma regering, där anställda riktades mot vapeniserade, officiellt utseende dokument som skickades via e-post.
Om offren öppnar filerna dras fjärrmallar .RTF-mallar och en version av Royal Road, en RTF-vapenfördelare, distribueras.
Verktyget fungerar genom att utnyttja en uppsättning sårbarheter i Microsoft Words ekvationsredigerare (CVE-2017-11882, CVE-2018-0798 och CVE-2018-0802).
HLR säger att Royal Road är “särskilt populärt bland kinesiska [avancerade ihållande hot] APT-grupper.”
RTF-dokumentet innehåller skalkod och en krypterad nyttolast som är utformad för att skapa en schemalagd uppgift och för att starta tidsskanningsteknik mot sandboxning samt en nedladdare för den sista bakdörren.
Dubbat “VictoryDll_x86.dll”, bakdörren har utvecklats för att innehålla ett antal funktioner som är lämpliga för spionering och exfiltrering av data till en kommandokontrollserver (C2).
Har du ett tips? Ta kontakt säkert via WhatsApp | Signal vid +447713 025 499, eller över vid Keybase: charlie0
Relaterade ämnen:
China Security TV Data Management CXO Data Centers 