Une nouvelle porte dérobée utilisée dans les campagnes de cyberespionnage en cours a été connectée aux acteurs chinois de la menace.
Jeudi, Check Point Research (CPR) a déclaré que la porte dérobée avait été conçue, développée, testée et déployée au cours des trois dernières années afin de compromettre les systèmes du ministère des Affaires étrangères d'un gouvernement d'Asie du Sud-Est. .
La chaîne d'infection du malware Windows a commencé avec des messages de spear phishing, se faisant passer pour d'autres départements du même gouvernement, dans lesquels les membres du personnel ont été ciblés avec des documents d'apparence officielle envoyés par e-mail.
< /p>
Si les victimes ouvrent les fichiers, des modèles .RTF distants sont extraits et une version de Royal Road, un armement RTF, est déployée.
L'outil fonctionne en exploitant un ensemble de vulnérabilités dans l'éditeur d'équations de Microsoft Word (CVE-2017-11882, CVE-2018-0798 et CVE-2018-0802).
CPR affirme que Royal Road est « particulièrement populaire auprès des groupes APT chinois [de menace persistante avancée] ».
Le document RTF contient un shellcode et une charge utile chiffrée conçue pour créer une tâche planifiée et pour lancer des techniques anti-sandboxing à balayage temporel, ainsi qu'un téléchargeur pour la porte dérobée finale.
Baptisée “VictoryDll_x86.dll”, la porte dérobée a été développée pour contenir un certain nombre de fonctions adaptées à l'espionnage et à l'exfiltration de données vers un serveur de commande et de contrôle (C2).
Une astuce ? Contactez-nous en toute sécurité via WhatsApp | Signalez au +447713 025 499, ou sur Keybase : charlie0
Sujets connexes :
China Security TV Data Management CXO Data Centers 