CarderPlanet
Professional
Была замечена "многолетняя" кампания кибершпионажа, спонсируемая китайским государством, нацеленная на южнокорейские академические, политические и правительственные организации.
Группа Insikt из Recorded Future, которая отслеживает активность под псевдонимом TAG-74, заявила, что злоумышленник был связан с "китайской военной разведкой и представляет значительную угрозу для академических, аэрокосмических и оборонных, правительственных, военных и политических организаций в Южной Корее, Японии и России".
Фирма по кибербезопасности охарактеризовала нападение на южнокорейские академические учреждения как совпадающее с более широкими усилиями Китая по хищению интеллектуальной собственности и расширению своего влияния, не говоря уже о стратегических отношениях страны с США.
Атаки социальной инженерии, организованные злоумышленником, используют файловые приманки, скомпилированные Microsoft в формате HTML Help (CHM), для удаления пользовательского варианта бэкдора Visual Basic Script с открытым исходным кодом под названием ReVBShell, который впоследствии используется для развертывания троянца удаленного доступа Bisonal.
ReVBShell настроен на переход в режим ожидания в течение определенного интервала с помощью команды, выдаваемой с удаленного сервера, который может редактировать период времени. Он также использует кодировку Base64 для маскировки командно-контрольного трафика (C2).
Использование ReVBShell было связано с двумя другими китайскими кластерами nexus, известными как Tick и Tonto Team, причем последнее было приписано идентичной последовательности заражения Центром реагирования на чрезвычайные ситуации AhnLab Security (ASEC) в апреле 2023 года.
Bisonal - это многофункциональный троян, который может собирать информацию о процессах и файлах, выполнять команды и файлы, завершать процессы, загружать файлы и удалять произвольные файлы на диске.
Говорят, что TAG-74 тесно связан с Tick, что еще раз подчеркивает распространенный обмен инструментами среди китайских групп угроз.
"Наблюдаемая кампания TAG-74 свидетельствует о долгосрочных целях группы по сбору разведданных против южнокорейских целей", - говорится в Recorded Future.
"Учитывая постоянное внимание группы к южнокорейским организациям на протяжении многих лет и вероятную оперативную компетенцию командования Северного театра военных действий, группа, вероятно, продолжит проявлять высокую активность в проведении долгосрочного сбора разведданных о стратегических целях на территории Южной Кореи, а также в Японии и России".
