Hacker cinesi sfruttano i file .chm per diffondere malware

Grazie al lavoro degli analisti di sicurezza informatica dell’Insikt Group di Recorded Future, è stato possibile analizzare una campagna di spionaggio informatico legata al gruppo TAG-74, considerato vicino al governo cinese.

Secondo gli esperti, questo attacco informatico sfrutta file con estensione .chm per attivare una catena di esecuzione che coinvolge dei file DLL per distribuire malware e caricare una backdoor ReVBShell VBScript personalizzata.

Gli obiettivi di TAG-74 a quanto pare sono organismi accademici, politici e governativi, in prevalenza legati alla Corea del Sud. Nonostante ciò, risultano coinvolte negli attacchi anche entità legate a Giappone e Russia.

Gli esperti affermano come le azioni di TAG-74 non sono una novità, visto che le azioni di spear phishing potrebbero essere iniziate già nel 2020.

I file .chm sfruttati nel contesto dello spionaggio informatico: come evitare rischi

I file .chm che permettono questo attacco vanno a includere al loro interno:

• Un eseguibile legittimo incorporato;
• Un DLL dannoso;
• Un file HTML.

Il file HTML avvia una catena di dirottamento dell’ordine di ricerca DLL eseguendo hh.exe e vias.exe che danno il via all’infezione vera e propria.

Nonostante l’occidente non sia tra gli obiettivi di questa campagna, è bene sempre assumere un atteggiamento prudente per evitare di finire nel mirino di attacchi simili. A tal proposito, gli esperti consigliano di:

• Bloccare i file .chm e allegati di file simili nei gateway di posta elettronica e negli elenchi di negazione delle applicazioni per mitigare potenziali abusi;
• Recorded Future ha identificato le configurazioni server dannose nel feed di controllo sicurezza, pertanto consiglia ai client di avvisare e bloccare questi server C2 per il rilevamento e la risoluzione delle intrusioni;
• Bloccare e registrare tutto il traffico di rete TCP/UDP relativo ai sottodomini DDNS, poiché gruppi di minacce sponsorizzati dallo stato e motivati finanziariamente li utilizzano spesso per intrusioni nella rete;
• Utilizzare i moduli di Brand Intelligence per rilevare abusi di dominio, compresi i domini typosquat.