Güney Koreli eğitim, inşaat, diplomatik ve siyasi kurumlar, Çin yanlısı bir tehdit aktörü tarafından gerçekleştirilen yeni saldırıların hedefi konumunda. Tonto Takımı.
AhnLab Güvenlik Acil Durum Müdahale Merkezi (ASEC), “Son vakalar, grubun kötü niyetli saldırılarını nihayetinde gerçekleştirmek için kötü amaçlı yazılımdan koruma ürünleriyle ilgili bir dosya kullandığını ortaya çıkardı.” söz konusu bu hafta yayınlanan bir raporda.
En az 2009’dan beri aktif olan Tonto Ekibi, Asya ve Doğu Avrupa’da çeşitli sektörleri hedefleme konusunda bir geçmişe sahiptir. Bu yılın başlarında grup, siber güvenlik şirketi Group-IB’ye yapılan başarısız bir kimlik avı saldırısıyla ilişkilendirildi.
ASEC tarafından keşfedilen saldırı dizisi, kötü amaçlı bir DLL dosyasını (slc.dll) yandan yüklemek ve başlatmak için bir ikili dosyayı yürüten bir Microsoft Derlenmiş HTML Yardımı (.CHM) dosyasıyla başlar. ReVBShellTick adlı başka bir Çinli tehdit aktörü tarafından da kullanılan açık kaynaklı bir VBScript arka kapısı.
ReVBShell daha sonra, ikinci bir sahte DLL’yi (wsc.dll) yandan yüklemek için yasal bir Avast yazılım yapılandırma dosyası (wsc_proxy.exe) olan ikinci bir yürütülebilir dosyayı indirmek için kullanılır ve sonuçta bizonal uzaktan erişim truva atı.
ASEC, “Tonto Ekibi, daha ayrıntılı saldırılar için normal yazılım kullanmak gibi çeşitli yollarla sürekli olarak gelişmektedir” dedi.
Gerçek Zamanlı Koruma ile Fidye Yazılımını Durdurmayı Öğrenin
Web seminerimize katılın ve gerçek zamanlı MFA ve hizmet hesabı koruması ile fidye yazılımı saldırılarını nasıl durduracağınızı öğrenin.
Kötü amaçlı yazılım için bir dağıtım vektörü olarak CHM dosyalarının kullanımı yalnızca Çinli tehdit aktörleriyle sınırlı değildir. Benzer saldırı zincirleri, ScarCruft olarak bilinen Kuzey Koreli bir ulus-devlet grubu tarafından da benimsendi. saldırılar güneydeki muadiline arka kapı hedefli ev sahiplerine yönelik.
APT37, Reaper ve Ricochet Chollima olarak da bilinen düşman, o zamandan beri RokRAT kötü amaçlı yazılımını dağıtmak için LNK dosyalarıkullanıcı kimlik bilgilerini toplama ve ek yükler indirme yeteneğine sahiptir.
