Специалисты по информационной безопасности открыли новое оружие кибершпионажа, автором которого может быть группа SharpPanda. В Security Week считают, что прежде неизвестный бэкдор в Windows открывает удалённый доступ и позволяет собирать большие объёмы данных в режиме реального времени. Это всегда происходит в тот момент, когда в Китае рабочие часы.
Целью злоумышленников является Министерство иностранных дел страны Юго-Восточной Азии. Сначала использовался целенаправленное фишинг по электронной почте с вложенными документами. Ещё раньше злоумышленники для достоверности получили настоящие документы из другого департамента в этом же Министерстве.
В документах используется набор эксплойтов RoyalRoad RTF. Фирма Check Point Research рассказывает, что запуск вложенных файлов приводит к загрузке неизвестного прежде бэкдора.
В документе содержатся встроенные объекты, которые используют уязвимости редактора формул в приложении Word. Это один из первых шагов длительной цепочки инфицирования, которая призвана затруднить обнаружение преступных действий.
Сначала используется метод защиты от песочницы. Устанавливается местное время, собирается информация с компьютера вроде имени хоста, имени и версии ОС, типа системы (32/64 бит), имени пользователя и MAC-адреса сетевых адаптеров. Также ищется антивирусная информация в WMI.
В итоге хакеры определяют, заинтересованы они в конкретном компьютере или нет. Использование подключаемых модулей даёт возможность помимо бэкдора VictoryDll устанавливать другие модули и атаковать компьютеры в любой точке мира.