Kinijos APT taikosi į Pietų Korėją daugiametėje kampanijoje
Kinijos valstybės remiamos kibernetinio šnipinėjimo pastangos tęsiasi daugelį metų, nukreiptos prieš Pietų Korėjos akademinius, politinius ir vyriausybinius subjektus.
„Insikt Group“ iš „Recorded Future“, veikianti kodiniu pavadinimu TAG-74, nustatė šią kampaniją. Jie susiejo priešininką su Kinijos karine žvalgyba ir išreiškė susirūpinimą dėl jo poveikio Pietų Korėjos, Japonijos ir Rusijos akademinėms, aviacijos, gynybos, vyriausybinėms, karinėms ir politinėms organizacijoms.
Kibernetinio saugumo bendrovė apibūdino taikymą į Pietų Korėjos akademines institucijas kaip dalį Kinijos platesnės strategijos, kuria siekiama užsiimti intelektinės nuosavybės vagystėmis ir didinti savo įtaką, ypač atsižvelgiant į jos strateginius santykius su Jungtinėmis Valstijomis.
Pagalbos failai, naudojami kaip masalas
Kinijos APT naudoja socialinės inžinerijos metodus, kaip masalą naudodama Microsoft Compiled HTML Help (CHM) failus. Šie failai pristato tinkintą atvirojo kodo „Visual Basic Script“ užpakalinių durų versiją, pavadintą „ReVBShell“. Šios užpakalinės durys vėliau palengvina Bisonal nuotolinės prieigos Trojos arklys diegimą.
„ReVBShell“ sukurtas taip, kad tam tikrą laikotarpį liktų neaktyvus, su galimybe reguliuoti šį intervalą nuotolinėmis komandomis. Jame taip pat naudojama „Base64“ koduotė, kad uždengtų komandų ir valdymo (C2) ryšius.
„ReVBShell“ naudojimas buvo susijęs su dviem kitais su Kinija susijusiais klasteriais, žinomais kaip „Tick“ ir „Tonto Team“. 2023 m. balandžio mėn. ASEC (AhnLab Security Emergency Response Center) aptiko identišką infekcijos seką, susietą su „Tonto Team“.
Bisonal, nuotolinės prieigos Trojos arklys, kurį pristato ReVBShell, yra universalus įrankis, galintis atlikti įvairias užduotis, įskaitant informacijos rinkimą, komandų vykdymą, procesų valdymą, failų perkėlimą ir failų trynimą.
TAG-74 yra glaudžiai susijęs su „Tick“, pabrėždamas paplitusią praktiką dalytis įrankiais tarp Kinijos grėsmių grupių.
„Recorded Future“ pabrėžė, kad TAG-74 kampanija atspindi ilgalaikį grupės įsipareigojimą rinkti žvalgybos duomenis iš Pietų Korėjos taikinių ilgą laiką.