Cybereasonがこのほど、「PortDoor: New Chinese APT Backdoor Attack Targets Russian Defense Sector」において、「RoyalRoad」と呼ばれるウェポナイザー(8.t Dropper/RTFエクスプロイトビルダー)の最近の開発動向を伝えた。このツールは中国系の脅威アクターが使用する武器で、価値の高い標的に対する標的型スピアフィッシング攻撃に使われているという。
今回Cybereasonは、RoyalRoadの分析を進める中で「PortDoor」という新しいマルウェアを発見したと報告。このマルウェアは異常な特徴を持っているほか、中国の国家利益のために活動している脅威アクターによって開発されたものである可能性が高いという分析結果が出たと説明している。
主な分析結果は次のとおり。
- RoyalRoad RTFの亜種と見られる新しい「PortDoor」バックドアが新たに発見された。難読化と持続性を考慮して設計されたバックドアであり、これまで発見されることなく高いステルス性を発揮して潜伏していたものと見られる。
- PortDoorはさまざまな用途で使用できる範囲の広いマルウェア。偵察、標的のプロファイリング、追加ペイロードの配信、特権昇格、プロセス操作、アンチウイルスによる静的検出の回避、暗号化など。
- 今回の分析ではロシアの防衛部門であるRubin Design Bureauが標的となっていた。この組織はロシア海軍の潜水艦の設計を担っている。
- PortDoorの感染経路、ソーシャルエンジニアリングの手口、標的に対するRoyalRoadの使い方、そのほかいくつかの類似点から、PortDoorの開発者が中国国家の利益のために活動する脅威アクターであると分析できる。
-
PortDoor: New Chinese APT Backdoor Attack Targets Russian Defense Sector
最近の標的型攻撃を仕掛ける脅威アクターは高度に組織化されたグループであることが増えている。攻撃方法は巧妙で、さまざまな方法で検出を回避し、長期に渡って組織内ネットワークに潜入して情報窃取などを継続する傾向が見られる。
