Китайские киберпреступники продолжают совершенствовать троян для удаленного доступа (RAT), появившийся еще десять лет назад. Как сообщают специалисты Cisco Talos, троян Bisonal до сих пор используется в атаках на Россию, Японию и Южную Корею.
По словам исследователей, такая преданность старым инструментам редко встречается среди киберпреступников. Как правило, хакеры регулярно пополняют свой арсенал новым ПО и не занимаются улучшением старого (Bisonal был скомпиллирован 24 декабря 2010 года).
Согласно отчету, предоставленному специалистами Cisco Talos изданию ZDNet до публикации, трояном Bisonal пользуется APT-группа Tonto Team, предположительно связанная с китайскими военными. По данным исследователей из FireEye, Tonto Team имеет отношение к Бюро технической разведки военного округа Шэньян и участвовала в атаках на используемый Южной Кореей противоракетный комплекс THAAD в 2017 году.
Помимо Южной Кореи, главными целями APT-группы также являлись Россия и Япония. Специалисты Cisco Talos обнаружили, что Bisonal использовался в недавних кампаниях против этих стран с главным акцентом на русскоговорящих пользователях.
«У кампаний были очень специфические цели, судя по которым модно предположить, что их конечная игра была больше связана со сбором оперативных разведданных и шпионажем», - сообщили в Cisco Talos.
На первом этапе атаки жертве приходит фишинговое письмо с вредоносным документом. В атаках 2009 года использовались документы, посвященные исследованиям, военным технологиям, южнокорейскому правительству и российским компаниям. Теперь же исследователи обнаружили русскоязычные RTF-документы и такие же документы на корейском, загружающие на атакуемую систему файл winhelp.wll, являющийся дроппером трояна Bisonal. Документы на русском посвящены исследованиям, а на корейском – правительству.