En ny bakdør som brukes i pågående cyberspionasjekampanjer har blitt koblet til kinesiske trusselaktører.
Torsdag sa Check Point Research (CPR) at bakdøren har blitt designet, utviklet, testet og distribuert de siste tre årene for å kompromittere systemene til en sørøstasiatiske regjerings utenriksdepartement. .
Den Windows-baserte malware-infeksjonskjeden begynte med spyd-phishing-meldinger, som etterligner andre avdelinger i samme regjering, der ansatte ble målrettet med våpen, offisielt utseende dokumenter sendt via e-post.
Hvis ofre åpner filene, blir eksterne .RTF-maler trukket og en versjon av Royal Road, en RTF-våpenmester, distribuert.
Verktøyet fungerer ved å utnytte et sett med sårbarheter i Microsoft Words ligningseditor (CVE-2017-11882, CVE-2018-0798 og CVE-2018-0802).
HLR sier at Royal Road er “spesielt populær blant kinesiske [avanserte vedvarende trussel] APT-grupper.”
RTF-dokumentet inneholder skallkode og en kryptert nyttelast designet for å lage en planlagt oppgave og for å starte tidssøkende anti-sandboksingsteknikker, samt en nedlasting for den siste bakdøren.
Kalt “VictoryDll_x86.dll”, bakdøren er utviklet for å inneholde en rekke funksjoner som er egnet for spionering og exfiltrering av data til en kommando-og-kontroll-server (C2).
Har du et tips? Ta kontakt sikkert via WhatsApp | Signal på +447713 025 499, eller over på Keybase: charlie0
Beslektede emner:
China Security TV Data Management CXO Data Centers 