Οι εκπαιδευτικοί, κατασκευαστικοί, διπλωματικοί και πολιτικοί οργανισμοί της Νότιας Κορέας γίνονται αποδέκτες νέων επιθέσεων που διαπράττονται από έναν απειλητικό παράγοντα που είναι συνδέεται με την Κίνα και είναι γνωστός ως Tonto Team.
Δείτε επίσης: Atomic info-stealer: Προσοχή! Νέο macOS malware
“Πρόσφατες περιπτώσεις αποκάλυψαν ότι η ομάδα χρησιμοποιεί ένα αρχείο που σχετίζεται με προϊόντα anti-malware για να εκτελέσει τελικά τις κακόβουλες επιθέσεις της”, ανέφερε το Κέντρο Αντιμετώπισης Εκτάκτων Αναγκών Ασφαλείας AhnLab (ASEC) σε έκθεση που δημοσιεύθηκε αυτή την εβδομάδα.
Η Tonto Team, η οποία δραστηριοποιείται τουλάχιστον από το 2009, έχει ιστορικό στοχοθεσίας σε διάφορους τομείς σε ολόκληρη την Ασία και την Ανατολική Ευρώπη. Νωρίτερα μέσα στην χρονιά, στην ομάδα αποδόθηκε μια ανεπιτυχής επίθεση phishing στην εταιρεία κυβερνοασφάλειας Group-IB.
TikTok: Μήνυση από 13 πολιτείες γιατί βλάπτει τα παιδιά
Τι πρέπει να ελέγξετε πριν σαρώσετε ένα QR code;
Εξερεύνηση του Άρη από ανθρώπους έως το 2035
Δείτε επίσης: Η έκδοση Linux του RTM Locker ransomware στοχεύει VMware ESXi servers
Η ακολουθία επίθεσης που ανακαλύφθηκε από την ASEC ξεκινά με ένα αρχείο Microsoft Compiled HTML Help (.CHM) που εκτελεί ένα binary file για να φορτώσει ένα κακόβουλο αρχείο DLL (slc.dll) και να εκκινήσει το ReVBShell, ένα backdoor VBScript ανοιχτού κώδικα που χρησιμοποιείται επίσης από έναν άλλο κινεζικό απειλητικό φορέα που ονομάζεται Tick.
Το ReVBShell αξιοποιείται στη συνέχεια για τη λήψη ενός δεύτερου εκτελέσιμου αρχείου, ενός νόμιμου αρχείου ρυθμίσεων λογισμικού Avast (wsc_proxy.exe), το οποίο στη συνέχεια χρησιμοποιείται για την παράλληλη φόρτωση ενός δεύτερου rogue DLL (wsc.dll), οδηγώντας τελικά στην ανάπτυξη του remote access trojan Bisonal.
“Το Tonto Team εξελίσσεται συνεχώς με διάφορα μέσα, όπως η χρήση κανονικού λογισμικού για πιο περίπλοκες επιθέσεις“, δήλωσε η ASEC.
Δείτε επίσης: Η.Β.: Προβλήματα σύνδεσης σε sites/ apps μεγάλων τραπεζών
Η χρήση των αρχείων CHM ως φορέας διανομής κακόβουλου λογισμικού δεν περιορίζεται μόνο στους κινεζικούς απειλητικοί φορείς – παρόμοιες αλυσίδες επιθέσεων έχουν υιοθετηθεί από μια βορειοκορεατική ομάδα εθνικού κράτους, γνωστή ως ScarCruft, σε επιθέσεις που στοχεύουν στην αντίστοιχη νότια ομάδα, για να ανοίξουν backdoor σε στοχευμένους hosts.
Ο adversary, επίσης γνωστός ως APT37, Reaper και Ricochet Chollima, έχει επίσης χρησιμοποιήσει αρχεία LNK για τη διανομή του RokRAT malware. Αυτό το κακόβουλο λογισμικό είναι ικανό να συλλέγει user credentials και να κατεβάζει πρόσθετα payloads.
Πηγή πληροφοριών: thehackernews.com