Chinesische APT nimmt Südkorea in mehrjähriger Kampagne ins Visier

Es gab eine umfangreiche, staatlich geförderte Cyber-Spionageaktion Chinas, die sich über mehrere Jahre erstreckte und sich gegen südkoreanische akademische, politische und staatliche Einrichtungen richtete.

Die Insikt Group von Recorded Future, die unter dem Codenamen TAG-74 firmiert, hat diese Kampagne identifiziert. Sie haben den Gegner mit dem chinesischen Militärgeheimdienst in Verbindung gebracht und Bedenken hinsichtlich seiner Auswirkungen auf südkoreanische, japanische und russische akademische, Luft- und Raumfahrt-, Verteidigungs-, Regierungs-, Militär- und politische Organisationen geäußert.

Das Cybersicherheitsunternehmen bezeichnete die Angriffe auf südkoreanische akademische Einrichtungen als Teil der umfassenderen Strategie Chinas, sich am Diebstahl geistigen Eigentums zu beteiligen und seinen Einfluss zu erhöhen, insbesondere angesichts seiner strategischen Beziehung zu den Vereinigten Staaten.

Hilfedateien werden als Köder verwendet

Das chinesische APT setzt Social-Engineering-Techniken ein und nutzt Microsoft Compiled HTML Help (CHM)-Dateien als Köder. Diese Dateien führen eine angepasste Version der Open-Source-Visual-Basic-Script-Hintertür namens ReVBShell ein. Diese Hintertür erleichtert anschließend den Einsatz des Bisonal-Remote-Access-Trojaners.

ReVBShell ist so konzipiert, dass es für einen bestimmten Zeitraum inaktiv bleibt und dieses Intervall über Remote-Befehle angepasst werden kann. Es verwendet außerdem Base64-Codierung, um seine Command-and-Control-Kommunikation (C2) zu verschleiern.

Die Verwendung von ReVBShell wurde mit zwei anderen mit China verbundenen Clustern in Verbindung gebracht, die als Tick und Tonto Team bekannt sind. Im April 2023 entdeckte ASEC (AhnLab Security Emergency Response Center) eine identische Infektionssequenz im Zusammenhang mit Tonto Team.

Bisonal, der von ReVBShell bereitgestellte Fernzugriffstrojaner, ist ein vielseitiges Tool, das verschiedene Aufgaben ausführen kann, darunter Informationsbeschaffung, Befehlsausführung, Prozessverwaltung, Dateiübertragungen und Dateilöschungen.

TAG-74 ist eng mit Tick verbunden, was die vorherrschende Praxis der gemeinsamen Nutzung von Tools zwischen chinesischen Bedrohungsgruppen unterstreicht.

Recorded Future hat betont, dass die TAG-74-Kampagne das anhaltende Engagement der Gruppe widerspiegelt, über einen längeren Zeitraum Informationen von südkoreanischen Zielen zu sammeln.