中國APT針對韓國進行多年活動
多年來,中國國家支持的廣泛網路間諜活動針對韓國學術、政治和政府實體。
Recorded Future 的 Insikt Group(代號 TAG-74)已經識別了該活動。他們將對手與中國軍事情報聯繫起來,並對其對韓國、日本和俄羅斯學術、航空航天、國防、政府、軍事和政治組織的影響表示擔憂。
這家網路安全公司將針對韓國學術機構的攻擊視為中國參與智慧財產權盜竊和增加影響力的更廣泛策略的一部分,特別是考慮到其與美國的戰略關係。
用作誘餌的幫助文件
中文 APT 採用社會工程技術,利用 Microsoft 編譯的 HTML 幫助 (CHM) 檔案作為誘餌。這些檔案引入了名為 ReVBShell 的開源 Visual Basic Script 後門的自訂版本。該後門隨後促進了 Bisonal 遠端存取木馬的部署。
ReVBShell 設計為在指定時間內保持休眠狀態,並能夠透過遠端指令調整此間隔。它還採用 Base64 編碼來隱藏其命令和控制 (C2) 通訊。
ReVBShell 的使用與另外兩個與中國相關的集群(Tick 和 Tonto Team)有關。 2023 年 4 月,ASEC(AhnLab 安全緊急應變中心)檢測到與 Tonto Team 相關的相同感染序列。
Bisonal 是 ReVBShell 提供的遠端存取木馬,是一種多功能工具,能夠執行各種任務,包括資訊收集、命令執行、進程管理、檔案傳輸和檔案刪除。
TAG-74 與 Tick 密切相關,凸顯了中國威脅組織之間共享工具的普遍做法。
Recorded Future 強調,TAG-74 活動反映了該組織長期致力於從韓國目標收集情報的承諾。