Tonto Team utiliza arquivo anti-malware para lançar ataques contra instituições sul-coreanas
28 de Abril de 2023

Instituições de educação, construção, diplomacia e política sul-coreanas estão sofrendo novos ataques perpetrados por um grupo ameaçador alinhado à China, conhecido como Tonto Team.

"Casos recentes revelaram que o grupo está usando um arquivo relacionado a produtos anti-malware para, em última instância, executar seus ataques maliciosos", disse o Centro de Resposta de Emergência de Segurança da AhnLab (ASEC) em um relatório publicado esta semana.

O Tonto Team, ativo desde pelo menos 2009, tem um histórico de direcionar vários setores em toda a Ásia e Europa Oriental.

No início deste ano, o grupo foi atribuído a um ataque de phishing fracassado à empresa de segurança cibernética Group-IB.

A sequência de ataque descoberta pela ASEC começa com um arquivo de Ajuda de HTML Compilado da Microsoft (.CHM) que executa um arquivo binário para carregar um arquivo DLL malicioso (slc.dll) e lançar o ReVBShell, um backdoor de VBScript de código aberto também usado por outro grupo ameaçador chinês chamado Tick.

O ReVBShell é posteriormente alavancado para baixar um segundo executável, um arquivo de configuração de software Avast legítimo (wsc_proxy.exe), para carregar um segundo arquivo DLL malicioso (wsc.dll), levando, em última instância, à implantação do trojan de acesso remoto Bisonal.

"O Tonto Team está constantemente evoluindo por meio de vários meios, como usando software normal para ataques mais elaborados", disse a ASEC.

O uso de arquivos CHM como vetor de distribuição de malware não se limita apenas a grupos ameaçadores chineses.

Cadeias de ataque semelhantes foram adotadas por um grupo estatal norte-coreano conhecido como ScarCruft em ataques direcionados a seu homólogo do sul para backdoor hosts alvo.

O adversário, também conhecido como APT37, Reaper e Ricochet Chollima, desde então também utilizou arquivos LNK para distribuir o malware RokRAT, capaz de coletar credenciais de usuário e baixar payloads adicionais.

Publicidade

Não compre curso de Pentest

Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...