Китайская APT нацелена на Южную Корею в многолетней кампании
В течение нескольких лет при финансовой поддержке китайского государства предпринимались обширные усилия по кибершпионажу, нацеленные на южнокорейские академические, политические и правительственные организации.
Группа Insikt из Recorded Future, действующая под кодовым названием TAG-74, определила эту кампанию. Они связали противника с китайской военной разведкой и выразили обеспокоенность по поводу ее воздействия на южнокорейские, японские и российские академические, аэрокосмические, оборонные, правительственные, военные и политические организации.
Компания по кибербезопасности охарактеризовала нападения на южнокорейские академические учреждения как часть более широкой стратегии Китая по краже интеллектуальной собственности и увеличению своего влияния, особенно в свете его стратегических отношений с Соединенными Штатами.
Файлы справки, используемые в качестве приманки
Китайский APT использует методы социальной инженерии, используя в качестве приманки файлы Microsoft Compiled HTML Help (CHM). Эти файлы представляют собой настроенную версию бэкдора Visual Basic Script с открытым исходным кодом под названием ReVBShell. Этот бэкдор впоследствии облегчает развертывание трояна удаленного доступа Bisonal.
ReVBSell предназначен для бездействия в течение определенного периода с возможностью регулировки этого интервала с помощью удаленных команд. Он также использует кодировку Base64, чтобы скрыть обмен данными по управлению и контролю (C2).
Использование ReVBSell было связано с двумя другими кластерами, связанными с Китаем, известными как Tick и Tonto Team. В апреле 2023 года ASEC (Центр реагирования на чрезвычайные ситуации безопасности AhnLab) обнаружил идентичную последовательность заражения, связанную с Tonto Team.
Bisonal, троян удаленного доступа, поставляемый ReVBSell, представляет собой универсальный инструмент, способный выполнять различные задачи, включая сбор информации, выполнение команд, управление процессами, передачу и удаление файлов.
TAG-74 тесно связан с Tick, что подчеркивает распространенную практику обмена инструментами среди китайских групп угроз.
Recorded Future подчеркнула, что кампания TAG-74 отражает неизменное стремление группы собирать разведданные о южнокорейских объектах в течение длительного периода.