A kínai APT Dél-Koreát célozza meg a többéves kampányban

A kínai állam által támogatott kiterjedt kiberkémkedésre több éven keresztül került sor, amely dél-koreai tudományos, politikai és kormányzati szerveket céloz meg.

A Recorded Future Insikt csoportja, amely TAG-74 kódnéven működik, azonosította ezt a kampányt. Összekötték az ellenfelet a kínai katonai hírszerzéssel, és aggodalmukat fejezték ki a dél-koreai, japán és orosz tudományos, űrhajózási, védelmi, kormányzati, katonai és politikai szervezetekre gyakorolt hatása miatt.

A kiberbiztonsági vállalat a dél-koreai akadémiai intézmények megtámadását Kína azon szélesebb körű stratégiájának részeként jellemezte, hogy részt vegyen a szellemi tulajdon ellopásában és növelje befolyását, különös tekintettel az Egyesült Államokkal fennálló stratégiai kapcsolatára.

Csaliként használt súgófájlok

A kínai APT social engineering technikákat alkalmaz, csaliként Microsoft Compiled HTML Help (CHM) fájlokat használva. Ezek a fájlok bemutatják a nyílt forráskódú Visual Basic Script hátsó ajtó testreszabott változatát, a ReVBShell nevet. Ez a hátsó ajtó megkönnyíti a Bisonal távoli hozzáférésű trójai program telepítését.

A ReVBShell-t úgy tervezték, hogy egy meghatározott ideig nyugalmi állapotban maradjon, és ez az intervallum távoli parancsokkal módosítható. Base64 kódolást is alkalmaz a parancs- és vezérlő (C2) kommunikáció elfedésére.

A ReVBShell használatát két másik Kínával kapcsolatos klaszterrel, Tick és Tonto Team néven hozták kapcsolatba. 2023 áprilisában az ASEC (AhnLab Security Emergency Response Center) azonos fertőzési szekvenciát észlelt, amely a Tonto Teamhez kapcsolódik.

A Bisonal, a ReVBShell által szállított távoli hozzáférésű trójai egy sokoldalú eszköz, amely különféle feladatokra képes, beleértve az információgyűjtést, a parancsok végrehajtását, a folyamatkezelést, a fájlátvitelt és a fájltörlést.

A TAG-74 szorosan kötődik a Tickhez, ami aláhúzza az eszközök megosztásának elterjedt gyakorlatát a kínai fenyegető csoportok között.

A Recorded Future hangsúlyozta, hogy a TAG-74 kampány a csoport tartós elkötelezettségét tükrözi a dél-koreai célpontoktól való hosszú távú információgyűjtés iránt.