I ricercatori di Kaspersky hanno rilevato diversi attacchi contro istituzioni pubbliche e aziende che operano nel settore militare in vari paesi dell’Est Europa. I cybercriminali, quasi certamente cinesi, hanno sfruttato una vecchia vulnerabilità di Microsoft Office per installare la backdoor PortDoor e accedere alla rete interna. In alcuni casi hanno preso il controllo dell’intera infrastruttura IT.
Backdoor per cyberspionaggio
Gli attacchi iniziano con l’invio di email contenenti informazioni specifiche sull’organizzazione che i cybercriminali hanno ottenuto preventivamente. È stata quindi usata la tecnica dello spear phishing per non destare sospetti. Il dipendente dell’azienda viene invitato ad aprire un documento Word in allegato, all’interno del quale è nascosto il codice che sfrutta la vecchia vulnerabilità CVE-2017-11882 presente in Microsoft Equation Editor.
La backdoor PortDoor viene eseguita sul computer senza l’intervento dell’utente. Il malware inizia quindi a raccogliere varie informazioni sul sistema, tra cui l’indirizzo IP, che vengono inviate al server C2. Se il target è quello cercato, i cybercriminali utilizzano le funzionalità di PortDoor per effettuare il controllo remoto e distribuire altri malware, come nccTrojan, un’altra backdoor. Ciò permette di sfruttare due canali di comunicazione per controllare il sistema da remoto e rubare i dati sensibili.
In altri attacchi sono state distribuite anche le backdoor Cotx, DNSep, Logtu e CotSam. Successivamente viene effettuato un “movimento laterale”, ovvero la scansione della rete per cercare i dispositivi collegati e guadagnare l’accesso al controller di dominio. Le informazioni raccolte sono quindi inviate ai server C2 in forma cifrata. Gli esperti di Kaspersky ritengono che gli attacchi siano opera del gruppo cinese TA428, noto anche come Colourful Panda.