Kinesisk APT retter sig mod Sydkorea i flerårig kampagne
Der har været en omfattende kinesisk statssponsoreret cyberspionageindsats, der strækker sig over flere år, rettet mod sydkoreanske akademiske, politiske og statslige enheder.
Insikt Group fra Recorded Future, der opererer under kodenavnet TAG-74, har identificeret denne kampagne. De har forbundet modstanderen med kinesisk militær efterretningstjeneste og har udtrykt bekymring over dens indvirkning på sydkoreanske, japanske og russiske akademiske, rumfarts-, forsvars-, regerings-, militær- og politiske organisationer.
Cybersikkerhedsvirksomheden har karakteriseret målretningen mod sydkoreanske akademiske institutioner som en del af Kinas bredere strategi om at engagere sig i tyveri af intellektuel ejendom og øge sin indflydelse, især i lyset af dets strategiske forhold til USA.
Hjælpefiler bruges som lokkemad
Den kinesiske APT anvender social engineering-teknikker og bruger Microsoft Compiled HTML Help (CHM)-filer som lokkemad. Disse filer introducerer en tilpasset version af open source Visual Basic Script-bagdøren ved navn ReVBShell. Denne bagdør letter efterfølgende implementeringen af Bisonal fjernadgangstrojaneren.
ReVBShell er designet til at forblive i dvale i en bestemt periode, med mulighed for at justere dette interval gennem fjernkommandoer. Den anvender også Base64-kodning til at skjule dens kommando-og-kontrol-kommunikation (C2).
Brugen af ReVBShell er blevet forbundet med to andre Kina-relaterede klynger kendt som Tick og Tonto Team. I april 2023 opdagede ASEC (AhnLab Security Emergency Response Center) en identisk infektionssekvens knyttet til Tonto Team.
Bisonal, fjernadgangstrojaneren leveret af ReVBShell, er et alsidigt værktøj, der kan udføre forskellige opgaver, herunder informationsindsamling, kommandoudførelse, processtyring, filoverførsler og filsletninger.
TAG-74 er tæt knyttet til Tick, hvilket understreger den udbredte praksis med at dele værktøjer blandt kinesiske trusselsgrupper.
Recorded Future har understreget, at TAG-74-kampagnen afspejler gruppens vedvarende forpligtelse til at indsamle efterretninger fra sydkoreanske mål over en længere periode.
