Instituições de educação, construção, diplomacia e política sul-coreanas estão sofrendo novos ataques perpetrados por um grupo ameaçador alinhado à China, conhecido como Tonto Team.
"Casos recentes revelaram que o grupo está usando um arquivo relacionado a produtos anti-malware para, em última instância, executar seus ataques maliciosos", disse o Centro de Resposta de Emergência de Segurança da AhnLab (ASEC) em um relatório publicado esta semana.
O Tonto Team, ativo desde pelo menos 2009, tem um histórico de direcionar vários setores em toda a Ásia e Europa Oriental.
No início deste ano, o grupo foi atribuído a um ataque de phishing fracassado à empresa de segurança cibernética Group-IB.
A sequência de ataque descoberta pela ASEC começa com um arquivo de Ajuda de HTML Compilado da Microsoft (.CHM) que executa um arquivo binário para carregar um arquivo DLL malicioso (slc.dll) e lançar o ReVBShell, um backdoor de VBScript de código aberto também usado por outro grupo ameaçador chinês chamado Tick.
O ReVBShell é posteriormente alavancado para baixar um segundo executável, um arquivo de configuração de software Avast legítimo (wsc_proxy.exe), para carregar um segundo arquivo DLL malicioso (wsc.dll), levando, em última instância, à implantação do trojan de acesso remoto Bisonal.
"O Tonto Team está constantemente evoluindo por meio de vários meios, como usando software normal para ataques mais elaborados", disse a ASEC.
O uso de arquivos CHM como vetor de distribuição de malware não se limita apenas a grupos ameaçadores chineses.
Cadeias de ataque semelhantes foram adotadas por um grupo estatal norte-coreano conhecido como ScarCruft em ataques direcionados a seu homólogo do sul para backdoor hosts alvo.
O adversário, também conhecido como APT37, Reaper e Ricochet Chollima, desde então também utilizou arquivos LNK para distribuir o malware RokRAT, capaz de coletar credenciais de usuário e baixar payloads adicionais.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...