Китайские киберпреступники продолжают совершенствовать троян для удалённого доступа (RAT), появившийся десять лет назад. В Cisco Talos сообщают, что троян Bisonal до сих пор используется в атаках на Россию, Японию и Южную Корею. Что необычно, ведь, как правило, хакеры регулярно пополняют арсенал новым ПО и не занимаются улучшением старого.
Согласно отчёту Cisco Talos, трояном Bisonal оперирует APT-группа Tonto Team, предположительно связанная с китайскими военными (есть информация, что Tonto Team имеет отношение к Бюро технической разведки военного округа Шэньян).
Эксперты Cisco Talos также обнаружили, что Bisonal использовался в недавних вредоносных кампаниях с главным акцентом на русскоговорящих пользователях.
«У кампаний были очень специфические цели, судя по которым можно предположить, что их конечная игра была больше связана со сбором оперативных разведданных и шпионажем», – сообщили в Cisco Talos.
В начале кибератаки жертве приходит фишинговое письмо с вредоносом. В атаках 2009 года использовались документы, посвященные исследованиям, военным технологиям, южнокорейскому правительству и российским компаниям. Теперь же ИБ-исследователи обнаружили RTF-документы на русском и корейском, загружающие на атакуемую систему файл winhelp.wll, являющийся дроппером трояна Bisonal. Документы на русском посвящены исследованиям, а на корейском – правительству.