Հարավային Կորեայի՝ կրթական, շինարարական, դիվանագիտական և քաղաքական հաստատությունները գտնվում են նոր հարձակումների թիրախում, որոնք իրականացվում են Չինաստանի հետ համագործակցող հաքերների կողմից: Հաքերների խումբը հանդես է գալիս Tonto Team անվանումով:
Tonto Team-ը, որի անունն ակտիվորեն շոշափվում է դեռևս 2009 թվականից, թիրախավորել է նաև Ասիայում և Արևելյան Եվրոպայում գտնվող տարբեր երկրներ: Այս տարվա սկզբին խմբին վերագրվել էր նաև Group-IB ընկերության դեմ ուղղված ֆիշինգային անհաջող հարձակման փորձը:
ASEC-ի կողմից հայտնաբերված հարձակման հաջորդականությունը սկսվում է Microsoft Compiled HTML Help (.CHM) ֆայլից, որը կատարում է binary file՝ բեռնելով վնասակար DLL ֆայլը (slc.dll) և գործարկելով ReVBShell-ը: Open source VBScript-ի backdoor-ը նույնպես ակտիվորեն կիրառվում է հաքերների կողմից և ստացել է Tick անունը:
Այնուհետև ReVBShell-ն անցնում է գործարկման երկրորդ փուլին՝ օրինական Avast ծրագրային ֆայլին (wsc_proxy.exe), խարդախ DLL-ը (wsc.dll) համատեղ ներբեռնելու համար, որն ի վերջո հանգեցնում է Bisonal remote access trojan-ի տեղակայմանը:
«Tonto Team-ը մշտապես զարգանում է նոր տենդենցներով և հաջորդ հարձակումը պլանավորում է ավելի ուժեղ գործիքներով», – նշում է ASEC-ը:
CHM ֆայլերի օգտագործումը որպես malware-երի տեսակներ, միայն չինացի հաքերների խմբով չի սահմանափակվում: Համանման հարձակումներ արձանագրվել են նաև Հյուսիսային Կորեայի ազգային-պետական խմբավորումների կողմից, որը հայտնի է որպես ScarCruft:
Հաքերներն այդ ժամանակվանից սկսած ակտիվորեն օգտագործում են LNK ֆայլերը՝ RokRAT malware-ներ տարածելու համար, որոնք ի վիճակի են հավաքագրել օգտատերերի հավատարմագրերը և ներբեռնել լրացուցիչ payload-եր:
Աղբյուրը՝ https://thehackernews.com/
