En nylig rapport fra AhnLab Security Emergency Response Center (ASEC) afslører, at Tonto Team, hackergruppe med meget tætte både til Kina, står bag de seneste angreb på sydkoreanske institutioner, herunder uddannelse, byggeri, diplomatiske og politiske organisationer. Ifølge rapporten har Tonto Team brugt en fil relateret til anti-malware-produkter som dække for at udføre sine angreb.
Tonto Team, som har været aktivt siden mindst 2009, har for vane at gå måplrettet efter forskellige sektorer på tværs af Asien og Østeuropa. Tidligere i år blev gruppen sat i forbindelse med et mislykket phishing-angreb på cybersikkerhedsvirksomheden Group-IB. Den angrebssekvens der blev opdaget af ASEC involverer brugen af en Microsoft Compiled HTML Help (.CHM)-fil til at udføre en binær fil, der sideindlæser en ondsindet DLL-fil (slc.dll) og starter ReVBShell, en open source VBScript-bagdør, der også bruges af en anden kinesisk trusselskuespiller ved navn Tick.
Tonto Team bruger derefter ReVBShell til at downloade en legitim Avast-softwarekonfigurationsfil (wsc_proxy.exe), som sideindlæser en anden slyngel-DLL (wsc.dll) og i sidste ende implementerer Bisonal fjernadgangstrojaneren. ASEC bemærker, at Tonto Team konstant udvikler sine taktikker og teknikker, herunder brugen af meget almindelig software til mere sofistikerede angreb.
Interessant nok er brugen af CHM-filer som en malware-distributionsvektor ikke unik for kinesiske trusselsaktører. Den nordkoreanske nationalstatsgruppe ScarCruft, også kendt som APT37, Reaper og Ricochet Chollima, har foretaget lignende angrebskæder i angreb rettet mod Sydkorea til bagdørsmålrettede værter. ScarCruft har også brugt LNK-filer til at distribuere RokRAT-malwaren, der er i stand til at indsamle brugeroplysninger og downloade yderligere nyttelast.
Comentários