Grazie al lavoro degli analisti di sicurezza informatica dell’Insikt Group di Recorded Future, è stato possibile analizzare una campagna di spionaggio informatico legata al gruppo TAG-74, considerato vicino al governo cinese.
Secondo gli esperti, questo attacco informatico sfrutta file con estensione .chm per attivare una catena di esecuzione che coinvolge dei file DLL per distribuire malware e caricare una backdoor ReVBShell VBScript personalizzata.
Gli obiettivi di TAG-74 a quanto pare sono organismi accademici, politici e governativi, in prevalenza legati alla Corea del Sud. Nonostante ciò, risultano coinvolte negli attacchi anche entità legate a Giappone e Russia.
Gli esperti affermano come le azioni di TAG-74 non sono una novità, visto che le azioni di spear phishing potrebbero essere iniziate già nel 2020.
I file .chm sfruttati nel contesto dello spionaggio informatico: come evitare rischi
I file .chm che permettono questo attacco vanno a includere al loro interno:
- Un eseguibile legittimo incorporato;
- Un DLL dannoso;
- Un file HTML.
Il file HTML avvia una catena di dirottamento dell’ordine di ricerca DLL eseguendo hh.exe e vias.exe che danno il via all’infezione vera e propria.
Nonostante l’occidente non sia tra gli obiettivi di questa campagna, è bene sempre assumere un atteggiamento prudente per evitare di finire nel mirino di attacchi simili. A tal proposito, gli esperti consigliano di:
- Bloccare i file .chm e allegati di file simili nei gateway di posta elettronica e negli elenchi di negazione delle applicazioni per mitigare potenziali abusi;
- Recorded Future ha identificato le configurazioni server dannose nel feed di controllo sicurezza, pertanto consiglia ai client di avvisare e bloccare questi server C2 per il rilevamento e la risoluzione delle intrusioni;
- Bloccare e registrare tutto il traffico di rete TCP/UDP relativo ai sottodomini DDNS, poiché gruppi di minacce sponsorizzati dallo stato e motivati finanziariamente li utilizzano spesso per intrusioni nella rete;
- Utilizzare i moduli di Brand Intelligence per rilevare abusi di dominio, compresi i domini typosquat.