Το κινεζικό APT στοχεύει τη Νότια Κορέα σε πολυετή καμπάνια
Υπήρξε μια εκτεταμένη προσπάθεια κατασκοπείας στον κυβερνοχώρο υπό την αιγίδα του κινεζικού κράτους που εκτείνεται σε πολλά χρόνια, με στόχο νοτιοκορεατικές ακαδημαϊκές, πολιτικές και κυβερνητικές οντότητες.
Η ομάδα Insikt από το Recorded Future, που λειτουργεί με την κωδική ονομασία TAG-74, έχει αναγνωρίσει αυτήν την καμπάνια. Έχουν συνδέσει τον αντίπαλο με τις κινεζικές στρατιωτικές πληροφορίες και έχουν εκφράσει ανησυχίες σχετικά με τον αντίκτυπό του σε νοτιοκορεατικούς, ιαπωνικούς και ρωσικούς ακαδημαϊκούς, αεροδιαστημικούς, αμυντικούς, κυβερνητικούς, στρατιωτικούς και πολιτικούς οργανισμούς.
Η εταιρεία κυβερνοασφάλειας χαρακτήρισε τη στόχευση ακαδημαϊκών ιδρυμάτων της Νότιας Κορέας ως μέρος της ευρύτερης στρατηγικής της Κίνας να εμπλακεί σε κλοπή πνευματικής ιδιοκτησίας και να αυξήσει την επιρροή της, ιδίως υπό το φως της στρατηγικής της σχέσης με τις Ηνωμένες Πολιτείες.
Αρχεία βοήθειας που χρησιμοποιούνται ως δόλωμα
Το κινεζικό APT χρησιμοποιεί τεχνικές κοινωνικής μηχανικής, χρησιμοποιώντας αρχεία Microsoft Compiled HTML Help (CHM) ως δόλωμα. Αυτά τα αρχεία εισάγουν μια προσαρμοσμένη έκδοση της κερκόπορτας ανοιχτού κώδικα Visual Basic Script που ονομάζεται ReVBSshell. Αυτή η κερκόπορτα διευκολύνει στη συνέχεια την ανάπτυξη του trojan απομακρυσμένης πρόσβασης Bisonal.
Το ReVBShell έχει σχεδιαστεί για να παραμένει σε αδράνεια για μια καθορισμένη περίοδο, με τη δυνατότητα προσαρμογής αυτού του διαστήματος μέσω απομακρυσμένων εντολών. Χρησιμοποιεί επίσης την κωδικοποίηση Base64 για να αποκρύψει τις επικοινωνίες εντολών και ελέγχου (C2).
Η χρήση του ReVBShell έχει συσχετιστεί με δύο άλλα cluster που σχετίζονται με την Κίνα, γνωστά ως Tick and Tonto Team. Τον Απρίλιο του 2023, το ASEC (AhnLab Security Emergency Response Center) εντόπισε μια πανομοιότυπη αλληλουχία μόλυνσης συνδεδεμένη με την Tonto Team.
Το Bisonal, το trojan απομακρυσμένης πρόσβασης που παρέχεται από τη ReVBShell, είναι ένα ευέλικτο εργαλείο ικανό για διάφορες εργασίες, όπως συλλογή πληροφοριών, εκτέλεση εντολών, διαχείριση διεργασιών, μεταφορές αρχείων και διαγραφές αρχείων.
Το TAG-74 είναι στενά συνδεδεμένο με το Tick, υπογραμμίζοντας την επικρατούσα πρακτική της κοινής χρήσης εργαλείων μεταξύ των κινεζικών ομάδων απειλών.
Η Recorded Future τόνισε ότι η εκστρατεία TAG-74 αντικατοπτρίζει τη διαρκή δέσμευση της ομάδας να συλλέγει πληροφορίες από στόχους της Νότιας Κορέας για μεγάλο χρονικό διάστημα.
