新的中国恶意软件瞄准了俄罗斯最大的核潜艇设计师

最近，观察到一名据信代表中国国家赞助的利益的威胁行为人瞄准了一家总部位于俄罗斯的国防承包商，该承包商参与为俄罗斯武装部队的海军部门设计核潜艇。

这起网络钓鱼攻击挑出了鲁宾设计局的一名总干事，利用臭名昭著的“皇家大道”RTF（Royal Road Rich Text Format，RTF）武器制造了一个以前没有记录的Windows后门，名为舷门“根据赛博eason的夜行威胁情报小组。

“Portdoor具有多种功能，包括进行侦察、目标分析、交付额外有效载荷、权限提升、进程操作、静态检测防病毒规避、单字节异或加密、AES加密数据过滤等，”研究人员在周五的一篇文章中说。

鲁宾设计局是位于圣彼得堡的潜艇设计中心，自1901年成立以来，苏联和俄罗斯海军85%以上的潜艇都是由鲁宾设计局设计的，其中包括几代战略导弹巡洋舰潜艇。

武器化RTF文件的内容

多年来，Royal Road已成为众多中国威胁角色的首选工具，如Goblin Panda、Rancor Group、TA428、Tick和Tonto Team。早在2018年末，这些攻击就以利用微软等式编辑器（CVE-2017-11882、CVE-2018-0798和CVE-2018-0802）中的多个漏洞而闻名，它们的形式是有针对性的鱼叉式网络钓鱼活动，利用恶意RTF文档将定制恶意软件交付给毫无戒心的高价值目标。

这次新发现的攻击也不例外，对手使用一封写给潜艇设计公司的矛式网络钓鱼电子邮件作为初始感染媒介。虽然之前版本的Royal Road被发现丢失了名为“8.t”的编码有效载荷，但这封电子邮件中嵌入了一个带有恶意软件的文档，当打开该文档时，会发送一个名为“e.o”的编码文件，以获取舷门植入物，这意味着正在使用的武器装置的新变种。

据说PortDoor的设计考虑到了混淆和持久性，它运行后门程序，具有广泛的功能，允许它分析受害机器、升级权限、下载和执行从攻击者控制的服务器接收的任意有效负载，并将结果导出回服务器。

研究人员说：“新发现的后门样本和其他已知的中国APT恶意软件之间的感染媒介、社会工程风格、对类似目标使用RoyalRoad，以及其他相似之处，都具有代表中国国家赞助利益的威胁行为人的特征。”。