Cyberthreat.id - Peretas yang diduga bekerja untuk pemerintah China telah menggunakan malware baru yang disebut PortDoor untuk menyusup ke sistem perusahaan teknik yang merancang kapal selam untuk Angkatan Laut Rusia.

Laporan peneliti di Cybereason Nocturnus, seperti dilaporkan Bleeping Computer pada Jumat (30 April 2021), menyebutkan bahwa peretas menggunakan email spear-phishing yang dibuat khusus untuk memikat direktur umum perusahaan agar membuka dokumen berbahaya.

Aktor ancaman tersebut menargetkan Rubin Central Design Bureau for Marine Engineering di Saint Petersburg, kontraktor pertahanan yang merancang sebagian besar kapal selam nuklir Rusia.

Metode untuk mengirimkan pintu belakang (backdoor) berbentuk dokumen RTF yang dilampirkan ke email yang dialamatkan ke CEO perusahaan, Igor V. Vilnit.

Peneliti ancaman di Cybereason menemukan bahwa penyerang memikat penerima untuk membuka dokumen berbahaya dengan deskripsi umum untuk kendaraan bawah air otonom.

Lebih jauh, para peneliti menemukan bahwa file RTF telah dipersenjatai menggunakan RoyalRoad, alat untuk membuat dokumen berbahaya untuk mengeksploitasi berbagai kerentanan di Microsoft's Equation Editor.

Penggunaan RoyalRoad telah dikaitkan di masa lalu dengan beberapa pelaku ancaman yang bekerja atas nama pemerintah China, seperti Tick, Tonto Team, TA428, Goblin Panda, Rancor, Naikon.

Saat diluncurkan, dokumen RTF menjatuhkan pintu belakang PortDoor di folder startup Microsoft Word yang menyamar sebagai file tambahan, "winlog.wll."

Menurut analisis Cybereason, PortDoor adalah pintu belakang lengkap dengan daftar fitur tambahan yang membuatnya cocok untuk berbagai tugas:

- Melakukan pengintaian
- Membuat profil sistem korban
- Mendownload payload dari server perintah dan kontrol
- Eskalasi hak istimewa
- Penyelesaian API dinamis untuk menghindari deteksi statis
- Enkripsi XOR satu byte (data sensitif, konfigurasi)
- Eksfiltrasi data terenkripsi AES

Dalam laporan teknisnya, Tim Cybereason Nocturnus menjelaskan fungsionalitas malware dan memberikan indikator kompromi untuk membantu organisasi mempertahankannya.

Para peneliti menghubungkan PortDoor dengan kelompok peretas yang disponsori negara Tiongkok berdasarkan kesamaan dalam taktik, teknik, dan prosedur dengan pelaku ancaman terkait Tiongkok lainnya.

Berdasarkan pekerjaan dari peneliti keamanan nao_sec, Cybereason dapat menentukan bahwa dokumen RTF berbahaya dibuat dengan RoaylRoad v7 dengan penyandian header yang terkait dengan operasi dari Tonto Team (alias CactusPete), Rancor, dan TA428.

CactusPete dan TA428 dikenal pernah menyerang organisasi di Eropa Timur (Rusia) dan Asia. Selain itu, Cybereason melihat elemen linguistik dan visual di email dan dokumen phishing PortDoor yang menyerupai umpan dalam serangan dari Tim Tonto.

Namun, pada tingkat kode, PortDoor tidak punya  kemiripan yang signifikan dengan malware lain yang digunakan oleh grup yang disebutkan di atas, yang menunjukkan bahwa ini adalah backdoor baru.

Atribusi Cybereason tentang PortDoor tidak memiliki tingkat keyakinan yang tinggi. Para peneliti menyadari bahwa kelompok lain mungkin berada di balik malware ini. Namun, bukti terkini menunjukkan adanya penyerang asal China.

“Terakhir, kami juga menyadari bahwa mungkin ada kelompok lain, yang diketahui atau belum diketahui, yang mungkin berada di balik serangan dan pengembangan pintu belakang PortDoor. Kami berharap seiring berjalannya waktu, dan dengan lebih banyak bukti yang dikumpulkan, atribusi bisa menjadi lebih konkret,” tulis peneliti Cybereason.[]