PortDoor: Một Backdoor mới của Trung Quốc nhắm vào Nga

Nguồn bài viết: PortDoor: Một Backdoor mới của Trung Quốc nhắm vào Nga

tim-hieu-ve-backdoor-portdoor-cua-trung-quoc (9)

Nhóm nghiên cứu bảo mật Cybereason Nocturnus Team đã dày công theo dõi công cụ RoyalRoad (công cụ giúp phát tán mã độc thông qua lỗ hổng tệp Windows RTF).

RoyalRoad còn được gọi là 8.t Trình tạo khai thác Dropper / RTF.

Nói một cách đơn giản, dễ hiểu, RoyalRoad giúp ẩn mã độc trong các tập tin RTF (giống như các tập tin văn bản mở trên Windows).

Khi người dùng mở tệp có định dạng .rtf Trong trường hợp này, mã độc sẽ tự động cài vào phần khởi động của ứng dụng Word, do đó, mỗi khi bạn mở tệp Word, mã độc sẽ được khởi chạy.

RoyalRoad được các hacker Trung Quốc tin dùng trong nhiều năm, tiêu biểu là Tick, Tonto Team, TA428, Goblin Panda, Rancor với chiến lược gửi email lừa đảo có chứa mã độc đến các tổ chức quốc gia.

Trong bài viết này, tôi sẽ nói về một nhóm tin tặc Trung Quốc (nhiều khả năng là do chính phủ tài trợ) tấn công lừa đảo người đứng đầu cấp cao của Cục thiết kế Rubin (một nhà thầu quốc phòng Nga từng là nhà thầu quốc phòng của Nga). thiết kế tàu ngầm hạt nhân cho Hải quân Nga / Hải quân Liên bang Nga).

Mã độc hại chính được sử dụng bởi nhóm này là PortDoor !

Bài này do CTV của chúng tôi gửi từ cuối năm ngoái (năm 2021) nhưng lỡ tay làm lỡ nên giờ mới đăng 🙂

#Đầu tiên. RoyalRoad

Đây là một công cụ tạo ra “vectơ tấn công ban đầu” bằng cách khai thác các lỗ hổng trong Equation Editor từ Microsoft: CVE-2017-11882, CVE-2018-0798, CVE-2018-0802.

Điển hình là sau khi mở tệp RTF “độc” (do công cụ RoyalRoad này tạo ra), tệp có tên “8.t” sẽ xâm nhập vào máy tính của nạn nhân.

Tiếp theo, tệp này sẽ được giải mã thành tệp thực thi và được lưu trong các thư mục nhạy cảm của Windows.

Trong trường hợp này, tệp “eo” (không phải “8.t”) được giải mã và lưu vào %APPDATA%MicrosoftWordSTARTUPwinlog.wllvì vậy mỗi khi bạn mở Office Word, bạn sẽ thực thi (khởi chạy) mã độc PortDoor.

# 2. Quá trình tấn công của PortDoor

Theo trường hợp được Cybereason Nocturnus Team khai thác, email lừa đảo được mạo danh được gửi từ công ty “Gidropribor” ở St.Petersburg (trung tâm nghiên cứu quốc gia, chuyên thiết kế tàu ngầm và vũ khí dưới nước).

Trong tệp RTF có chứa một thiết kế đơn giản của một thiết bị tự hành dưới nước:

tim-hieu-ve-backdoor-portdoor-cua-trung-quoc (4)

tim-hieu-ve-backdoor-portdoor-cua-trung-quoc (5)

Nhóm tin tặc này cũng sử dụng kỹ thuật Timestomping để thay đổi thời gian tệp RTF được tạo ra vào năm 2007 nhằm đánh lạc hướng cuộc điều tra.

Và để qua mặt cơ chế bảo mật của Windows, mã độc đã được đưa PortDoor vào thư mục khởi động của Microsoft Word thay vì chạy ngay khi mở tệp RTF.

tim-hieu-ve-backdoor-portdoor-cua-trung-quoc (6)

# 3. PortDoor nguy hiểm như thế nào?

Cửa hậu này được trang bị rất nhiều chức năng:

– Thu thập thông tin tình báo, lập hồ sơ chi tiết của máy nạn nhân.

– Nhận lệnh cũng như tải thêm các công cụ hỗ trợ từ máy chủ điều khiển C2 server.

tim-hieu-ve-backdoor-portdoor-cua-trung-quoc (11)

– Nó có thể tương tác với máy chủ C2 thông qua ổ cắm thô và HTTP (cổng 443, hỗ trợ xác thực proxy).

– Có được quyền quản trị để nó thực hiện các tác vụ nâng cao (leo thang đặc quyền, thao tác quy trình). Cụ thể, PortDoor sử dụng kỹ thuật Access Token Theft để đánh cắp mã thông báo từ explorer.exe

Đây là đoạn mã thực hiện chức năng trên:

tim-hieu-ve-backdoor-portdoor-cua-trung-quoc (10)

– Vượt qua “sự né tránh phát hiện tĩnh” của các chương trình bảo mật nhờ cơ chế “Giải quyết API động”.

tim-hieu-ve-backdoor-portdoor-cua-trung-quoc (8)

– Mã hóa dữ liệu nhạy cảm và các tệp cấu hình bằng thuật toán “Mã hóa XOR một byte”.

tim-hieu-ve-backdoor-portdoor-cua-trung-quoc (2)

– Riêng thông tin thu thập được sẽ được mã hóa bằng AES sau đó gửi về máy chủ C2.

tim-hieu-ve-backdoor-portdoor-cua-trung-quoc (7)

#4. Phần kết

Chiến tranh mạng đang dần thay thế chiến tranh thương mại hay chiến tranh đạn dược, và Trung Quốc đang dần khẳng định tiềm năng của mình trên không gian mạng khi có nhiều bằng chứng chỉ ra vô số tổ chức hacker nguy hiểm được cả nước công nhận. Sự bảo trợ này.

Đúng vậy, chiến tranh là điều không thể tránh khỏi, đừng nghĩ rằng hacker không quan tâm đến bạn, vì còn rất nhiều lý do khác ngoài mục đích tình báo mà hacker có thể nhắm vào bạn như:

Biến máy tính của bạn thành máy chủ zombie C2, biến máy tính của bạn thành một phần của mạng botnet … góp phần vào các cuộc tấn công DoS, DDoS trong mạng botnet của hacker, cài Ransomware để đòi tiền chuộc, v.v.

Trong câu chuyện bảo mật, yếu tố con người là quan trọng nhất, tất cả các vụ hack chấn động đều bắt nguồn từ “véc tơ” ban đầu của con người:

Có khi bị “lừa” cắm USB có mã độc, có khi bị “tra khảo” lấy mật khẩu hệ thống bảo mật, và trong bài viết này là bị lừa mở email chứa mã độc.

Vì vậy, hãy luôn lưu ý vấn đề bảo mật trong mọi trường hợp, trên Internet cũng như ngoài đời, đừng quá phụ thuộc vào các giải pháp bảo mật như Internet Security / Anti-virus hay Firewall của hãng, hãy lưu ý bảo mật nhé!

CTV: Dương Minh Thắng – Blogchiasekienthuc.com
Bài gốc: Tại đây!
Chỉnh sửa của Kiên Nguyễn

Bài viết đạt: 5/5 sao – (Có 1 đánh giá)

Ghi chú: Bài viết này có hữu ích cho bạn không? Đừng quên đánh giá bài viết, thích và chia sẻ nó với bạn bè và gia đình của bạn!

Bản quyền thuộc: tinthuthuat.com



from tinthuthuat.com https://ift.tt/Ww1U2Jt
via tinthuthuat.com

Nhận xét

Đăng nhận xét

Bài đăng phổ biến từ blog này

Top 5 Phần Mềm Test Bàn Phím Laptop, Máy Tính

Hình ảnh
Nguồn bài viết: Top 5 Phần Mềm Test Bàn Phím Laptop, Máy Tính Có rất nhiều cách dễ dàng để kiểm tra bàn phím máy tính mà bạn không hề hay biết. Dưới đây là 5 cách kiểm tra bàn phím laptop, cách nhanh nhất và tiện lợi nhất để biết bạn cần đến nó thay bàn phím laptop chính hãng hay không Phần mềm kiểm tra bàn phím online Có nhiều cách để kiểm tra bàn phím Laptop vì nó yêu cầu cài đặt một số phần mềm vào hệ điều hành của máy tính. Đôi khi nó có thể gây nặng máy, ngốn dữ liệu ổ cứng hoặc thậm chí tiềm ẩn virus và các quảng cáo độc hại nếu bạn cài đặt phần mềm không an toàn. Để tối ưu hóa các bước kiểm tra bàn phím laptop, những người sáng tạo đã thiết kế và đưa ra các trang web có tích hợp phần mềm kiểm tra bàn phím online. bạn có thể dễ dàng kiểm tra bàn phím của mình mà không cần trải qua quá nhiều bước. Phần mềm kiểm tra bàn phím Key-Test – kiểm tra bàn phím online Không chỉ cho phép bạn kiểm tra bàn phím ngay trên trình duyệt Key-Test – kiểm tra bàn phím online còn có thể ...
Đọc thêm

Tìm hiểu về các loại bản quyền nội dụng trên Internet

Hình ảnh
Nguồn bài viết: Tìm hiểu về các loại bản quyền nội dụng trên Internet Internet là một không gian vô tận, ở đây có tất cả những thông tin chúng ta cần tìm, mọi thứ mà chúng ta chưa biết và muốn tìm hiểu. Tất nhiên, cái gì cũng có hai mặt của nó, trong muôn vàn nội dung hữu ích cũng có không ít nội dung độc hại, gây ảnh hưởng xấu đến cuộc sống của con người. Vì vậy, việc lựa chọn những nguồn thông tin sạch và chính thống để tiếp cận là vô cùng cần thiết. Internet có thể giúp bạn trở nên thành công, có thêm kiến ​​thức, nhưng nó cũng có thể giết chết cuộc đời bạn. Vì lý do đó, để đảm bảo tính nhất quán và tôn trọng bản quyền nội dung và người sáng tạo nội dung, các chuyên gia đã cấp chứng chỉ (hoặc giấy phép) để áp dụng cho một số nội dung nhất định. Từ đó, độc giả sẽ có thêm thông tin cơ bản về nội dung họ đọc, cũng như thông tin về bản quyền và pháp lý của nó. Đây cũng là một cách để bảo vệ bản quyền nội dung cho người sáng tạo. Bởi như các bạn đã biết, ngoài đời, họ còn ngang n...
Đọc thêm

5 cách khắc phục laptop không nhận tai nghe chuẩn và hiệu quả nhất

Hình ảnh
Nguồn bài viết: 5 cách khắc phục laptop không nhận tai nghe chuẩn và hiệu quả nhất Đang sử dụng Laptop không nhận tai nghe là điều mà nhiều người gặp phải, khiến bạn gặp nhiều trở ngại trong học tập, làm việc, vui chơi và giải trí. Có rất nhiều trường hợp khiến laptop không nhận tai nghe nhưng không phải ai cũng biết cách khắc phục và nguyên nhân do đâu, bài viết dưới đây sẽ giúp bổ sung vào kho thủ thuật laptop của bạn. Nguyên nhân do đâu mà laptop không nhận tai nghe? Có nhiều lý do khiến Laptop Máy tính không nhận ra tai nghe Bạn có thể tham khảo một vài lý do dưới đây: ● Laptop không nhận tai nghe có thể do chân cắm tai nghe bị hư nên khi cắm vào bạn không thể nghe rõ âm thanh, thậm chí hoàn toàn không nghe được. ● Nguyên nhân khá phổ biến là do tai nghe bị hư, không phải nguyên nhân do laptop của bạn. ● Việc laptop không nhận tai nghe là lỗi thường xảy ra sau khi bạn cài đặt hệ điều hành mới, có thể do chưa cài driver của tai nghe trên máy tính. Lỗi này sẽ gây khó chị...
Đọc thêm