以前未记录的后门目标微软的公式编辑器

通过矛网络钓鱼提供的Royalload Backdoor在攻击俄罗斯的防御承包商中被确定。

后门/抽象安全电路,锁和数据块
Baku Retsu / Krulua / Getty Images

来自Cyber​​ ay Nocturnus团队的研究人员在新发现的RoyalRoad武器装填器中发现了异常特性,可提供以前无证的后门。当揭开针对俄罗斯的防御承包商的攻击时,研究人员一直在跟踪RoyalRoad的最新发展。

矛网络钓鱼攻击目标俄罗斯国防承包商

在这种情况下,目标的目标 矛网络钓鱼 袭击是一位俄罗斯辩护承包商在鲁宾设计局工作的一般董事,为俄罗斯联邦的海军设计了核潜艇。

用于提供初始感染传染媒介的电子邮件被讨论了鲁宾设计局的“尊敬的总干事吴多·弗拉基米罗维奇”,该潜艇设计中心是一名潜艇设计中心,该潜艇设计中心是在设计水下武器的国家研究中心。

Royalro Variant如何工作

r.Esearch团队定义了RoyalRoad 作为一种生成武器化RTF文档的工具,可利用Microsoft公式编辑器中的漏洞,包括 CVE-2017-11882, CVE-2018-0798.CVE-2018-0802。 Microsoft的等式编辑器包含在早期版本的单词中,但由于其实施安全问题,从2018年1月的所有版本中删除。

RoyalRoad武器器也被称为8.T Dropper / RTF漏洞资源建设者。分析的变体已将其编码的有效负载从已知的“8.T”文件更改为新的文件名:“E.O”。打开并执行RTF文档后,将删除Microsoft Word Add-In文件,以删除Microsoft Word Startup文件夹,该技术用于绕过自动执行持久性的检测。 RTF在2007年时间戳,另一种用于未被发现的技术。

这个新的变体滴下以前未记录的后门被称为Portdoor, 恶意软件 根据Cycereason Nocturnus的说法,具有多种功能,包括做侦察,目标分析,额外有效载荷,递送额外有效载荷,权限升级,AES加密数据exfillatoration的权限升级,Process Sunization静态检测抗病毒逃号,AES加密数据exfiltration等。研究人员期望正在开发更多的新变种。

研究人员没有足够的信息来归因于这个后门,但他们说:“有几个已知的中国APT团体与在本博客中分析的新恶意软件样本背后的威胁演员共享相当多的相似之处。”具体而言,它包含先前由Tonto团队,To428和奶油威胁演员使用的报头编码。

版权© 2021 IDG通讯,Inc。