L’éducation, la construction, les institutions diplomatiques et politiques sud-coréennes sont la cible de nouvelles attaques perpétrées par un acteur menaçant aligné sur la Chine connu sous le nom de L’équipe Tonto.
« Des cas récents ont révélé que le groupe utilise un fichier lié à des produits anti-malware pour finalement exécuter ses attaques malveillantes », a déclaré le centre de réponse d’urgence de sécurité AhnLab (ASEC). a dit dans un rapport publié cette semaine.
L’équipe Tonto, active depuis au moins 2009, a fait ses preuves dans le ciblage de divers secteurs en Asie et en Europe de l’Est. Plus tôt cette année, le groupe a été attribué à une attaque de phishing infructueuse contre la société de cybersécurité Group-IB.
La séquence d’attaque découverte par l’ASEC commence par un fichier Microsoft Compiled HTML Help (.CHM) qui exécute un fichier binaire pour charger latéralement un fichier DLL malveillant (slc.dll) et lancer ReVBShellune porte dérobée VBScript open source également utilisée par un autre acteur menaçant chinois appelé Tick.
ReVBShell est ensuite exploité pour télécharger un deuxième exécutable, un fichier de configuration légitime du logiciel Avast (wsc_proxy.exe), pour charger une deuxième DLL malveillante (wsc.dll), conduisant finalement au déploiement du bison cheval de Troie d’accès à distance.
« L’équipe Tonto évolue constamment par divers moyens, tels que l’utilisation de logiciels normaux pour des attaques plus élaborées », a déclaré l’ASEC.
Apprenez à arrêter les ransomwares avec une protection en temps réel
Rejoignez notre webinaire et découvrez comment arrêter les attaques de ransomwares dans leur élan grâce à la MFA en temps réel et à la protection des comptes de service.
L’utilisation de fichiers CHM comme vecteur de distribution de logiciels malveillants ne se limite pas aux seuls acteurs chinois de la menace. Des chaînes d’attaques similaires ont été adoptées par un groupe d’États-nations nord-coréen connu sous le nom de ScarCruft en attaques destiné à son homologue du sud pour des hôtes ciblés par porte dérobée.
L’adversaire, également connu sous le nom d’APT37, Reaper et Ricochet Chollima, a depuis également utilisé Fichiers LNK pour distribuer le malware RokRATqui est capable de collecter les informations d’identification des utilisateurs et de télécharger des charges utiles supplémentaires.