Un nuevo backdoor utilizado en las campañas de ciberespionaje en curso se ha relacionado con actores de amenazas chinos.
Check Point Research (CPR) indicó que el backdoor ha sido diseñado, desarrollado, probado y desplegado durante los últimos tres años con el fin de comprometer los sistemas del Ministerio de Asuntos Exteriores de un gobierno del sudeste asiático.
La cadena de infección del malware basado en Windows comenzó con mensajes de spear phishing, suplantando a otros departamentos del mismo gobierno, en los que se atacaba a los miembros del personal con documentos de aspecto oficial armados enviados por correo electrónico.
Si las víctimas abren los archivos, se extraen plantillas .RTF remotas y se despliega una versión de Royal Road, un armamento RTF.
La herramienta funciona explotando un conjunto de vulnerabilidades en el editor de ecuaciones de Microsoft Word (CVE-2017-11882, CVE-2018-0798 y CVE-2018-0802).
CPR dice que Royal Road es “especialmente popular entre los grupos APT chinos [amenazas persistentes avanzadas]”.
El documento RTF contiene shellcode y una carga útil encriptada diseñada para crear una tarea programada y lanzar técnicas anti-sandboxing de escaneo de tiempo, así como un descargador para el backdoor final.
Apodado “VictoryDll_x86.dll”, el backdoor ha sido desarrollado para contener una serie de funciones adecuadas para el espionaje y la exfiltración de datos a un servidor de mando y control (C2).
La puerta trasera se conecta a un C2 para transmitir los datos robados y este servidor también puede utilizarse para obtener y ejecutar cargas útiles de malware adicionales. Los C2 de la primera etapa están alojados en Hong Kong y Malasia, mientras que el servidor C2 del backdoor está alojado en un proveedor estadounidense.
Spanish
English
Portuguese
Chinese (Simplified)
Russian
French
German
Dutch
Italian