Иронично, что в своих атаках киберпреступники используют компоненты антивирусного софта Avast.
Южнокорейские образовательные, строительные, дипломатические и политические учреждения подвергаются новым атакам, совершённым хакерским объединением Tonto Team, предположительно связанным с Китаем.
«Группа злоумышленников использует для выполнения своих вредоносных атак файл, связанный с решениями для защиты от вредоносных программ», — говорится в недавнем отчёте ASEC.
Tonto Team, действующая по крайней мере с 2009 года, имеет обширный хакерский опыт в Азии и Восточной Европе. А ранее в этом году группировке приписали неудачную фишинговую атаку на компанию по кибербезопасности Group-IB.
Последовательность атаки, обнаруженной специалистами ASEC, начиналась с файла Microsoft Compiled HTML Help («.chm»), который выполнял двоичный файл для последующего внедрения вредоносной библиотеки (slc.dll) методом DLL Sideloading. Затем шёл запуск VBScript-бэкдора с открытым исходным кодом под названием ReVBShell.
ReVBShell использовался злоумышленниками для загрузки второго исполняемого файла, законного файла конфигурации программного обеспечения Avast (wsc_proxy.exe), также для внедрения вредоносной DLL-библиотеки (wsc.dll), что в конечном итоге приводило к развертыванию трояна Bisonal RAT.
Схема атаки Tonto Team
Как показывает практика, использование CHM-файлов в качестве вектора распространения вредоносных программ не ограничивается только китайскими злоумышленниками. Подобные цепочки атак также применяет и северокорейская группа ScarCruft, атаки которой тоже зачастую направлены на южнокорейские организации.
Источник: securitylab