Chińskie APT w wieloletniej kampanii celuje w Koreę Południową
Od wielu lat prowadzone są szeroko zakrojone, sponsorowane przez chińskie państwo działania w zakresie cyberszpiegostwa, których celem są południowokoreańskie podmioty akademickie, polityczne i rządowe.
Zidentyfikowała tę kampanię grupa Insikt z Recorded Future, działająca pod kryptonimem TAG-74. Połączyli przeciwnika z chińskim wywiadem wojskowym i wyrazili obawy dotyczące jego wpływu na organizacje akademickie z Korei Południowej, Japonii i Rosji, organizacje z branży lotniczej, obronnej, rządowej, wojskowej i politycznej.
Firma zajmująca się cyberbezpieczeństwem scharakteryzowała atak na południowokoreańskie instytucje akademickie jako część szerszej strategii Chin mającej na celu kradzież własności intelektualnej i zwiększenie swoich wpływów, szczególnie w świetle strategicznych stosunków Chin ze Stanami Zjednoczonymi.
Pliki pomocy używane jako przynęta
Chiński APT wykorzystuje techniki inżynierii społecznej, wykorzystując jako przynętę pliki Microsoft Compiled HTML Help (CHM). Pliki te wprowadzają dostosowaną wersję backdoora Visual Basic Script o otwartym kodzie źródłowym o nazwie ReVBShell. Ten backdoor ułatwia następnie wdrożenie trojana zdalnego dostępu Bisonal.
ReVBShell został zaprojektowany tak, aby pozostawał uśpiony przez określony czas, z możliwością dostosowania tego interwału za pomocą zdalnych poleceń. Wykorzystuje również kodowanie Base64, aby przesłaniać komunikację typu dowodzenia i kontroli (C2).
Korzystanie z ReVBShell zostało powiązane z dwoma innymi klastrami związanymi z Chinami, znanymi jako Tick i Tonto Team. W kwietniu 2023 r. ASEC (Centrum Reagowania Kryzysowego AhnLab) wykrył identyczną sekwencję infekcji powiązaną z zespołem Tonto.
Bisonal, trojan zdalnego dostępu dostarczany przez ReVBShell, to wszechstronne narzędzie zdolne do wykonywania różnych zadań, w tym gromadzenia informacji, wykonywania poleceń, zarządzania procesami, przesyłania i usuwania plików.
TAG-74 jest ściśle powiązany z Tickiem, co podkreśla powszechną praktykę dzielenia się narzędziami pomiędzy chińskimi grupami zagrożeń.
Recorded Future podkreśliło, że kampania TAG-74 odzwierciedla trwałe zaangażowanie grupy w gromadzenie informacji wywiadowczych od celów w Korei Południowej przez dłuższy okres.