Les chercheurs de la Cybereason Nocturnus Team ont détecté des caractéristiques anormales dans le malware RoyalRoad qui délivre une porte dérobée non documentée nommée PortDoor. Les chercheurs suivaient l'évolution récente du RoyalRoad lorsqu'ils ont découvert une attaque d’hameçonnage ciblé, ou spear phishing, visant un entrepreneur de la défense basé en Russie.
En l'occurrence, le directeur général travaillant pour le Rubin Design Bureau, un centre de conception de sous-marins nucléaires faisant partie du consortium « Gidropribor » de Saint-Pétersbourg, un centre de recherche national qui conçoit des missiles sous-marins, était la cible de l'attaque de spear-phishing. Le message utilisé pour transmettre le vecteur d'infection initial était adressé au « respectueux directeur général Igor Vladimirovich » du Rubin Design Bureau.
Une cyber-arme bien connue
Selon les chercheurs de la Cybereason Nocturnus Team, l’outil RoyalRoad génère des documents RTF « armés » qui exploitent les vulnérabilités de l'éditeur d'équations de Microsoft, notamment les vulnérabilités référencées CVE-2017-11882, CVE-2018-0798 et CVE-2018-0802. Ce logiciel était inclus dans les vieilles versions de Word, mais a été supprimé de toutes les versions dans la mise à jour publique de janvier 2018 en raison de problèmes de sécurité liés à son implémentation.
La charge RoyalRoad est également connue sous le nom de constructeur d'exploit 8.t Dropper/RTF. Dans la variante analysée, la charge utile encodée a été modifiée, le nom de fichier s’appelant désormais « e.o » au lieu de la dénomination connue « 8.t ». Une fois le document RTF ouvert et exécuté, un fichier complémentaire Microsoft Word est déposé dans le dossier de démarrage de Microsoft Word, une technique utilisée pour contourner la détection de la persistance de l'exécution automatique. Le RTF est horodaté 2007, une autre technique utilisée pour éviter la détection.
Une backdoor bien fournie et d'origine chinoise ?
Ce variant dépose la porte dérobée baptisée PortDoor, jusque-là non documentée. Ce malware aux multiples fonctionnalités, est notamment capable de faire de la reconnaissance, du profilage de cibles, de la livraison de charges utiles supplémentaires, il est capable d'élévation de privilèges, de manipulation des processus, d'évasion d’antivirus, de détection statique, de cryptage XOR un-octet, d'exfiltration de données cryptées AES et bien plus encore, selon Cybereason Nocturnus.
Les chercheurs pensent que d'autres variantes sont en cours de développement. Ces derniers ne disposaient pas d'assez d'informations pour attribuer cette porte dérobée, mais ils ont déclaré que « quelques groupes APT chinois connus partagent un certain nombre de similitudes avec l'acteur de la menace à l’origine de ces derniers échantillons de malware analysés dans ce blog ». Plus précisément, cette porte dérobée contient un encodage d'en-tête précédemment utilisé par des acteurs de la menace connus sous les appellations Tonto Team, TA428 et Rancor.