Mehrjährige chinesische APT-Kampagne zielt auf südkoreanische akademische, staatliche und politische Einrichtungen ab
Die Insikt Group von Recorded Future hat eine Analyse einer langwierigen Cyber-Spionagekampagne namens TAG-74 durchgeführt, die staatlich geförderten chinesischen Akteuren zugeschrieben wird. TAG-74 konzentriert sich hauptsächlich auf die Infiltration südkoreanischer akademischer, politischer und staatlicher Organisationen. Diese Gruppe steht in Verbindung mit dem chinesischen Militärgeheimdienst und stellt eine erhebliche Bedrohung für akademische, Raumfahrt- und Verteidigungseinrichtungen sowie für staatliche, militärische und politische Einrichtungen in Südkorea, Japan und Russland dar. Dass TAG-74 südkoreanische akademische Einrichtungen ins Visier nimmt, steht im Einklang mit den umfassenderen Spionagebemühungen Chinas, die auf den Diebstahl geistigen Eigentums und die Ausweitung seines Einflusses im Hochschulwesen weltweit abzielen.
Die Motivation der vom chinesischen Staat gesponserten Akteure, in Südkorea nachrichtendienstliche Informationen zu sammeln, dürfte in der regionalen Nähe und der strategischen Rolle Südkoreas im Wettbewerb Chinas mit den USA und ihren regionalen Verbündeten im Indo-Pazifik liegen. Zu den jüngsten Spannungen kam es, als China seine Besorgnis über die engeren Beziehungen Südkoreas zu den USA, sein wahrgenommenes Engagement in Taiwan und seine Ausrichtung auf die USA sowie die Eindämmungspolitik Japans gegenüber China zum Ausdruck brachte. Die Bemühungen von TAG-74 zur Informationsbeschaffung, zu denen auch gefälschte Domänen und Scheindokumente im Zusammenhang mit der Zusammenarbeit zwischen Südkorea gehören, werden voraussichtlich intensiviert, da China nach Informationen sucht, um seine diplomatischen und geschäftlichen Beziehungen mit südkoreanischen Unternehmen zu gestalten.
Typische Infektionskette bei der TAG-74-Kampagne gegen Südkorea (Quelle: Recorded Future)
TAG-74 ist eine etablierte, vom chinesischen Staat gesponserte Bedrohungsaktivitätsgruppe, die auf das Sammeln von Informationen über südkoreanische, japanische und russische Organisationen spezialisiert ist. Ihre Taktiken, Techniken und Verfahren (TTPs) umfassen die Verwendung von .chm Dateien, die eine Ausführungskette zum Entführen der DLL-Suchreihenfolge auslösen, um eine angepasste Version der VBScript-Hintertür ReVBShell zu laden. Darüber hinaus wird eine benutzerdefinierte Hintertür namens Bisonal verwendet, um die Funktionen zu erweitern, sobald der erste Zugriff über ReVBShell hergestellt ist. Diese angepasste ReVBShell-Variante wird wahrscheinlich von TAG-74 und einer anderen eng verwandten Bedrohungsaktivitätsgruppe, der Tick Group, gemeinsam genutzt, was auf eine Zusammenarbeit zwischen diesen Gruppen hindeutet.
Die Beharrlichkeit von TAG-74, südkoreanische Organisationen ins Visier zu nehmen, und ihre wahrscheinliche operative Ausrichtung auf das Northern Theater Command lassen darauf schließen, dass die Gruppe ihre aktiven und langfristigen Bemühungen zur Informationsbeschaffung in Südkorea, Japan und Russland fortsetzen wird. Insbesondere die Verwendung von .chm Dateien von vom chinesischen Staat gesponserten Akteuren sind außerhalb Südkoreas nicht besonders verbreitet. Allerdings wurde dieser Angriffsvektor bei auf Südkorea abzielenden Aktivitäten sowohl in TAG-74-Kampagnen als auch – im weiteren Sinne – bei Aktivitäten beobachtet, die nordkoreanischen staatlich geförderten Bedrohungsgruppen wie Kimsuky und APT37 zugeschrieben werden. Organisationen sollten das Vorhandensein und die Verwendung von .chm überwachen Dateien, insbesondere wenn sie in ihrer Umgebung nicht häufig verwendet werden, da diese Taktik in den letzten Jahren bei Bedrohungsakteuren an Bedeutung gewonnen hat.
Um die gesamte Analyse zu lesen, klicken Sie hier.
Anhang A – Indikatoren für eine Gefährdung
Domänen alleyk.onthewifi[.]com anrnet.servegame[.]com asheepa.sytes[.]net attachdaum.servecounterstrike[.]com attachmaildaum.servecounterstrike[.]com attachmaildaum.serveblog[.]net bizmeka.viewdns[.]net bucketnec.bounceme[.]net chsoun.serveftp[.]com ckstar.zapto[.]org daecheol.myvnc[.]com eburim.viewdns[.]net eduin21.zapto[.]org elecinfonec.servehalflife[.]com foodlab.hopto[.]org formsgle.freedynamicdns[.]net formsgle.freedynamicdns[.]org fresh.servepics[.]com global.freedynamicdns[.]net global.freedynamicdns[.]org hairouni.serveblog[.]net hamonsoft.serveblog[.]net hanseo1.hopto[.]org Ernte.my-homeip[.]net hometax.onthewifi[.]com hwarang.myddns[.]me jaminss.viewdns[.]net janara.freedynamicdns[.]org jeoash.servemp3[.]com jstreco.myftp[.]biz kanager.bounceme[.]net kcgselect.servehalflife[.]com kjmacgk.ddnsking[.]com kookmina.servecounterstrike[.]com ksd22.myddns[.]me kumohhic.viewdns[.]net kybook.viewdns[.]net Führer.gotdns[.]ch likms.hopto[.]org logindaums.ddnsking[.]com loginsdaum.viewdns[.]net mafolog.serveminecraft[.]net mailplug.ddnsking[.]com minjoo2.servehttp[.]com mintaek.bounceme[.]net munjanara.servehttp[.]com necgo.serveblog[.]net Muster.webhop[.]me pixoneer.myvnc[.]com plomacy.ddnsking[.]com proeso.servehttp[.]com prparty.webhop[.]me puacgo1.servemp3[.]com saevit.servebeer[.]com Sicherheit.viewdns[.]net samgiblue.servegame[.]com sarang.serveminecraft[.]net satreci.bounceme[.]net sejonglog.hopto[.]org signga.redirectme[.]net skparty.myonlineportal[.]org steering.viewdns[.]net stjpmsko.serveblog[.]net surveymonkey.myddns[.]me themiujoo.viewdns[.]net tsuago.servehalflife[.]com tsuagos.servehalflife[.]com unipedu.servebeer[.]com visdpaka.servemp3[.]com visual.webhop[.]me wwl1764.ddnsking[.]com IP-Adressen 45.133.194[.]135 92.38.135[.]92 107.148.149[.]108 141.164.60[.]28 148.163.6[.]214 158.247.223[.]50 158.247.234[.]163 Bisonal 01e5ebc2c096d465800660a0ad6d62208a5b2b675e3700f3734fac225b1d38bd 11cd4b64dcac3195c01ffc937ae1eb77aa2f98d560a75347036d54a1cf69a5fd a88ca28b0948e810d4eb519db7b72a40cfe7907ce4c6a881a192880278f3c8b5 89f250599e09f8631040e73cd9ea5e515d87e3d1d989f484686893becec1a9bc 0ea0b19c562d20c6ac89a1f2db06eedcb147cde2281e79bb0497cef62094b514 ReVBShell (Dekodiert) aa4ad5341a9258330abd732cbab3721d76764f1ff21a8f960622661d701a1a71 8f50f49e77ddcc7ef639a76217b2eb25c48f9ce21ae8341050d0da49b89b7b34 ae0f641dc9d33ee50990971104ef1c598e216693700be6b74bb1e9ef373af97c 465c7c6a0f23ba5f928fc0d0cdc4d9f6ec89e03dcedafc3d72b3b3c01a54a00c 6a59421fd225d90439b6a933458718cf43dbe518c63979e8980bc070c070558a df7d584d56af6fcf3cca31ed0d3a4d34abd2c1019b8d223a230f8a78075a7d9a 078a8026f32b8d05258285dc527408388c651f6c3eaebc45f8bb3f4b42248631 Loader-DLLs c643598b4ee0e9b3b70dae19437bbec01e881a1ad3b2ec1f6f5c335e552e5d6e 9425666e58b200306935c36301d66a4bf2c831ad41ea0ee8984f056257b86eb6 a16997954b64499479b4721c9f742b5d2875496f2035e1c654b06694981041b2 0d0acd7e7257a715c10dded76acb233adc8fdfe32857eda060bd1448e8b54585 0ea02fddf2ec96d4aee8adaffda2dd5fab0ea989b0c3f8c1577a1be22ee9153a e3cdaa9bfba6bfac616b7f275c1e888b8910efcb8a3df071f68ad1e83710bd61 9fdb528949a2b80ac40cb7d3333bdff5d504294cc3d90cf353db72b8beffd2b2 607f324c3427916d67369e40af72aa441f3ca7be1e0ec6c53c3558fc7a1c4186 8efc5db8c678bdf27dacbf033842c2ef676c979afdc4561cb8d315d2d488491f CHM-Dateien beb09817608daba003589292a6cca2f724c52f756df2ef0e230380345d702716 ba07ee6409908384172511563e6b9059cf84121fcb42c54d45c76ec67cb36d7c bf1d1f5157756529d650719cc531ec2de94edb66ae1dabd00ed6f4b90a336d9c 2dd7c9ea32f5b2a4d431fc54aa68cd76837f80bb324ef2e4e1e5134e467e35af 56c9235e55b1a6371762159619e949686d8de2b45a348aeb4fd5bed6a126f66a dda47ba7a41c9a2f041cc10f9b058a78e0019315c51cc98d0f356e2054209ae5 cf5bbbcb3f4d5123c08635c8fd398e55e516893b902a33cd6f478e8797eea962 HTML-Dateien b3a8ea3b501b9b721f6e371dd57025dc14d117c29ce8ee955b240d4a17bc2127 9d10de1c3c435927d07a1280390faf82c5d7d5465d772f6e1206751400072261 0eea610ec0949dc602a7178f25f316c4db654301e7389ee414c9826783fd64c0 8073593a7311bc23f971352c85ce2034c01d3d3fbbe4f99a8f3825292e8f9f77 e1748e7e668d6fc7772e95c08d32f41ad340f4a9acf0e2f933f3cbeba7323afa 0d6893c7a3a7afc60b81c136b1dcdfb24b35efab01aac165fe0083b9b981da7c 77fbb82690c9256f18544e26bb6e306a3f878d3e9ab5966457ac39631dfd2cb0 Dateinamen KOREA MARITIME & OCEAN UNIVERSITY.chm SPM_(협력사)_사용자매뉴얼_v2.1.chm Dateierweiterung DID-Datei Ver1.0(202103 Update).chm Ver1.0(202103 Update).chm {cph0} Dateierweiterung 2022_Installationsdatei DLL-Datei Ver1.1.chm Sicherheitsupdate(s)_Ver_1.2.chm v1.4.chm } Sicherheitsupdate für den Computer_Ver2.1.chm |
Anhang B – MITRE ATT&CK-Techniken
Taktik: Technik | ATT&CK-Code |
Erster Zugriff - Spearphishing-Anhang | T1566.001 |
Ausführung - Befehls- und Skriptinterpreter: Visual Basic | T1059.005 |
Ausführung - Benutzerausführung: Schädliche Datei | T1204.002 |
Persistenz - Boot- oder Anmelde-Autostart-Ausführung: Registry-Ausführungsschlüssel / Startordner | T1547.001 |
Umgehung der Verteidigung - Hijack-Ausführungsfluss: DLL-Suchreihenfolge-Hijacking | T1574.001 |
Umgehung der Verteidigung - Ausführung eines binären Systemproxys: Kompilierte HTML-Datei | T1218.001 |
Umgehung der Verteidigung - - Leitplanken für die Ausführung | T1480 |
Discovery - Software Discovery: Erkennung von Sicherheitssoftware | T1518.001 |
Befehl und Kontrolle - Datenkodierung: Standardkodierung | T1132.001 |
Befehl und Steuerung - Anwendungsschichtprotokoll: Webprotokolle | T1071.001 |
Befehl und Kontrolle – Verschlüsselter Kanal: Symmetrische Kryptographie | T1573.001 |
Exfiltration – Exfiltration über den C2-Kanal | T1041 |
Verwandt