中国APT针对韩国开展多年活动
多年来,中国国家支持的广泛网络间谍活动针对韩国学术、政治和政府实体。
Recorded Future 的 Insikt Group(代号 TAG-74)已经识别了该活动。他们将对手与中国军事情报联系起来,并对其对韩国、日本和俄罗斯学术、航空航天、国防、政府、军事和政治组织的影响表示担忧。
这家网络安全公司将针对韩国学术机构的攻击视为中国参与知识产权盗窃和增加影响力的更广泛战略的一部分,特别是考虑到其与美国的战略关系。
用作诱饵的帮助文件
中文 APT 采用社会工程技术,利用 Microsoft 编译的 HTML 帮助 (CHM) 文件作为诱饵。这些文件引入了名为 ReVBShell 的开源 Visual Basic Script 后门的自定义版本。该后门随后促进了 Bisonal 远程访问木马的部署。
ReVBShell 设计为在指定时间内保持休眠状态,并能够通过远程命令调整此间隔。它还采用 Base64 编码来隐藏其命令和控制 (C2) 通信。
ReVBShell 的使用与另外两个与中国相关的集群(Tick 和 Tonto Team)相关。 2023 年 4 月,ASEC(AhnLab 安全应急响应中心)检测到与 Tonto Team 相关的相同感染序列。
Bisonal 是 ReVBShell 提供的远程访问木马,是一种多功能工具,能够执行各种任务,包括信息收集、命令执行、进程管理、文件传输和文件删除。
TAG-74 与 Tick 密切相关,凸显了中国威胁组织之间共享工具的普遍做法。
Recorded Future 强调,TAG-74 活动反映了该组织长期致力于从韩国目标收集情报的承诺。