Хакеры Tonto Team активно терроризируют южнокорейские учреждения

Хакеры Tonto Team активно терроризируют южнокорейские учреждения

Иронично, что в своих атаках киберпреступники используют компоненты антивирусного софта Avast.

image

Южнокорейские образовательные, строительные, дипломатические и политические учреждения подвергаются новым атакам, совершённым хакерским объединением Tonto Team, предположительно связанным с Китаем.

«Группа злоумышленников использует для выполнения своих вредоносных атак файл, связанный с решениями для защиты от вредоносных программ», — говорится в недавнем отчёте ASEC.

Tonto Team, действующая по крайней мере с 2009 года, имеет обширный хакерский опыт в Азии и Восточной Европе. А ранее в этом году группировке приписали неудачную фишинговую атаку на компанию по кибербезопасности Group-IB.

Последовательность атаки, обнаруженной специалистами ASEC, начиналась с файла Microsoft Compiled HTML Help («.chm»), который выполнял двоичный файл для последующего внедрения вредоносной библиотеки (slc.dll) методом DLL Sideloading. Затем шёл запуск VBScript-бэкдора с открытым исходным кодом под названием ReVBShell.

ReVBShell использовался злоумышленниками для загрузки второго исполняемого файла, законного файла конфигурации программного обеспечения Avast (wsc_proxy.exe), также для внедрения вредоносной DLL-библиотеки (wsc.dll), что в конечном итоге приводило к развертыванию трояна Bisonal RAT.

Схема атаки Tonto Team

Как показывает практика, использование CHM-файлов в качестве вектора распространения вредоносных программ не ограничивается только китайскими злоумышленниками. Подобные цепочки атак также применяет и северокорейская группа ScarCruft, атаки которой тоже зачастую направлены на южнокорейские организации.

Не ждите, пока хакеры вас взломают - подпишитесь на наш канал и станьте неприступной крепостью!

Подписаться