Il gruppo sostenuto dallo stato cinese TAG-74 ha attirato l’attenzione degli esperti di cybersecurity per le sue attività di raccolta di informazioni su organizzazioni situate in Corea del Sud, Giappone e Russia. Questo gruppo ha adottato una tecnica particolare: l’utilizzo di file .chm per innescare una catena di esecuzione di ricerca dell’ordine DLL e, successivamente, distribuire malware. L’obiettivo finale è caricare un backdoor ReVBShell VBScript personalizzato sul dispositivo della vittima.
Gli analisti di cybersecurity del gruppo Insikt di Recorded Future hanno condotto un’analisi approfondita di una campagna di cyber-spionaggio sponsorizzata dallo stato cinese. Questa campagna, attribuita a TAG-74, ha preso di mira enti accademici, politici e governativi sudcoreani. La scelta di questi obiettivi suggerisce un legame diretto con l’intelligence militare cinese.
Dettagli sulla Catena di Infezione di TAG-74
La catena di infezione di TAG-74, che è stata osservata attiva dal 2020, si basa su attacchi spearphishing tramite file .chm. Questi file contengono tre componenti principali:
- Un eseguibile legittimo incorporato.
- Una DLL dannosa.
- Un file HTML.
Il processo di infezione inizia quando il file HTML avvia una catena di ricerca dell’ordine DLL di ricerca. Questo viene fatto eseguendo hh.exe e vias.exe attraverso oggetti di collegamento bitmap. L’attacco simula clic del mouse sugli oggetti in sequenza, portando all’esecuzione del codice dannoso.
Indirizzi IP e Infrastruttura di TAG-74
Gli indirizzi IP utilizzati da TAG-74 includono:
- 45.133.194[.]135
- 92.38.135[.]92
- 141.164.60[.]28
- 158.247.223[.]50
- 158.247.234[.]163
Inoltre, TAG-74 sfrutta l’infrastruttura VPS sudcoreana da vari fornitori e domini DNS dinamici per il suo server di comando e controllo (C2), spesso imitando organizzazioni sudcoreane.
Domini contraffatti da TAG-74
Il gruppo ha anche creato una serie di domini contraffatti, tra cui:
- attachdaum.servecounterstrike[.]com
- attachmaildaum.servecounterstrike[.]com
- attachmaildaum.serveblog[.]net
- logindaums.ddnsking[.]com
- loginsdaum.viewdns[.]net
- bizmeka.viewdns[.]net
- hamonsoft.serveblog[.]net
- hanseo1.hopto[.]org
- hometax.onthewifi[.]com
- mailplug.ddnsking[.]com
- minjoo2.servehttp[.]com
- necgo.serveblog[.]net
- pixoneer.myvnc[.]com
- puacgo1.servemp3[.]com
- satreci.bounceme[.]net
- sejonglog.hopto[.]org
- unipedu.servebeer[.]com
Consigli per la Mitigazione
Gli esperti di cybersecurity suggeriscono diverse misure di mitigazione per proteggersi da questi attacchi. Tra queste, la configurazione dei sistemi IDS, IPS o di difesa della rete per segnalare e potenzialmente bloccare le connessioni verso/dai suddetti indirizzi IP e domini. Inoltre, è essenziale bloccare gli allegati .chm e simili ai gateway e-mail e nelle liste di negazione delle applicazioni, data la loro limitata utilità legittima e il potenziale per l’abuso.
