Китайская APT нацелена на Южную Корею в многолетней кампании

В течение нескольких лет при финансовой поддержке китайского государства предпринимались обширные усилия по кибершпионажу, нацеленные на южнокорейские академические, политические и правительственные организации.

Группа Insikt из Recorded Future, действующая под кодовым названием TAG-74, определила эту кампанию. Они связали противника с китайской военной разведкой и выразили обеспокоенность по поводу ее воздействия на южнокорейские, японские и российские академические, аэрокосмические, оборонные, правительственные, военные и политические организации.

Компания по кибербезопасности охарактеризовала нападения на южнокорейские академические учреждения как часть более широкой стратегии Китая по краже интеллектуальной собственности и увеличению своего влияния, особенно в свете его стратегических отношений с Соединенными Штатами.

Файлы справки, используемые в качестве приманки

Китайский APT использует методы социальной инженерии, используя в качестве приманки файлы Microsoft Compiled HTML Help (CHM). Эти файлы представляют собой настроенную версию бэкдора Visual Basic Script с открытым исходным кодом под названием ReVBShell. Этот бэкдор впоследствии облегчает развертывание трояна удаленного доступа Bisonal.

ReVBSell предназначен для бездействия в течение определенного периода с возможностью регулировки этого интервала с помощью удаленных команд. Он также использует кодировку Base64, чтобы скрыть обмен данными по управлению и контролю (C2).

Использование ReVBSell было связано с двумя другими кластерами, связанными с Китаем, известными как Tick и Tonto Team. В апреле 2023 года ASEC (Центр реагирования на чрезвычайные ситуации безопасности AhnLab) обнаружил идентичную последовательность заражения, связанную с Tonto Team.

Bisonal, троян удаленного доступа, поставляемый ReVBSell, представляет собой универсальный инструмент, способный выполнять различные задачи, включая сбор информации, выполнение команд, управление процессами, передачу и удаление файлов.

TAG-74 тесно связан с Tick, что подчеркивает распространенную практику обмена инструментами среди китайских групп угроз.

Recorded Future подчеркнула, что кампания TAG-74 отражает неизменное стремление группы собирать разведданные о южнокорейских объектах в течение длительного периода.