Güney Koreli akademik, siyasi ve hükümet kuruluşlarını hedef alan “çok yıllık” Çin devleti destekli bir siber casusluk kampanyası gözlemlendi.
Faaliyetleri TAG-74 adı altında izleyen Recorded Future’ın Insikt Grubu, düşmanın “Çin askeri istihbaratıyla bağlantılı olduğunu ve Güney Kore’deki akademik, havacılık ve savunma, hükümet, askeri ve siyasi kuruluşlara önemli bir tehdit oluşturduğunu” söyledi. , Japonya ve Rusya.”
Siber güvenlik firması, Güney Koreli akademik kurumların hedef alınmasını, Çin’in fikri mülkiyet hırsızlığı yapma ve nüfuzunu genişletme yönündeki daha geniş çabalarıyla uyumlu olarak nitelendirdi; bunun yanı sıra, ülkenin ABD ile stratejik ilişkilerinin motive ettiğini de sözlerine ekledi.
Saldırgan tarafından gerçekleştirilen sosyal mühendislik saldırıları, Microsoft Derlenmiş HTML Yardımı (CHM) dosyası yemlerinden yararlanarak, daha sonra Bisonal uzaktan erişim truva atının dağıtılmasına hizmet eden, ReVBShell adı verilen açık kaynaklı bir Visual Basic Komut Dosyası arka kapısının özel bir varyantını düşürmeyi amaçlıyor.
ReVBShell, zaman dilimini düzenleyebilen uzak bir sunucudan verilen bir komut aracılığıyla belirli bir aralıkta uyuyacak şekilde yapılandırılmıştır. Komuta ve kontrol (C2) trafiğini maskelemek için Base64 kodlamasını da kullanır.
ReVBShell’in kullanımı, Tick ve Tonto Team olarak bilinen diğer iki Çin-nexus kümesiyle ilişkilendirildi; ikincisi, Nisan 2023’te AhnLab Güvenlik Acil Durum Müdahale Merkezi (ASEC) tarafından aynı enfeksiyon dizisine atfedildi.
Bisonal, işlem ve dosya bilgilerini toplayabilen, komutları ve dosyaları yürütebilen, işlemleri sonlandırabilen, dosyaları indirip yükleyebilen ve diskteki rastgele dosyaları silebilen çok işlevli bir truva atıdır.
Yapay Zeka ile Yapay Zekayla Mücadele Edin — Yeni Nesil Yapay Zeka Araçlarıyla Siber Tehditlerle Mücadele Edin
Yapay zekanın yönlendirdiği yeni siber güvenlik zorluklarının üstesinden gelmeye hazır mısınız? Siber güvenlikte artan üretken yapay zeka tehdidini ele almak için Zscaler ile kapsamlı web seminerimize katılın.
Becerilerinizi Güçlendirin
TAG-74’ün Tick ile yakından ilişkili olduğu söyleniyor ve bu da Çinli tehdit grupları arasındaki yaygın araç paylaşımının bir kez daha altını çiziyor.
Recorded Future, “Gözlemlenen TAG-74 kampanyası, grubun Güney Kore hedeflerine karşı uzun vadeli istihbarat toplama hedeflerinin göstergesidir” dedi.
“Grubun uzun yıllar boyunca Güney Kore örgütlerine ısrarla odaklandığı ve Kuzey Tiyatro Komutanlığı’nın olası operasyonel yetki alanı göz önüne alındığında, grubun Güney Kore’deki stratejik hedefler üzerinde de uzun vadeli istihbarat toplama konusunda oldukça aktif olmaya devam etmesi muhtemeldir. Japonya ve Rusya’da olduğu gibi.”