2023-02-13 13:15:03
Хорошая попытка, Tonto Team. Но все-таки неудачная. Летом 2022 года система
Group-IB Managed XDR, способная обнаруживать и останавливать сложные киберугрозы, выдала оповещение о блокировке вредоносных писем, которые пришли двум нашим сотрудникам. Кроме Group-IB в получателях значились еще несколько десятков ведущих IT и ИБ-компаний — все цели находились в России.
Изучая эту сработку, специалисты Group-IB Threat Intelligence выявили связи этой атаки с китайской прогосударственной группой TontoTeam (aka
HeartBeat, Karma Panda, CactusPete, Bronze Huntley, Earth Akhlut). Что еще удалось выяснить?
Хакеры использовали фишинговые электронные письма для доставки документов Microsoft Office, которые были созданы в компоновщике вредоносных RTF-эксплойтов Royal Road Weaponizer. Этот инструмент уже давно активно используется китайскими прогосударственными группами.
Для вредоносной рассылки злоумышленники использовали фальшивую почту, зарегистрированную в популярном бесплатном почтовом сервисе GMX Mail (Global Message eXchange).
В ходе атаки был обнаружен бэкдор Bisonal.DoubleT. Этот инструмент — уникальная разработка группы Tonto Team и используется хакерами как минимум с 2019 года.
Кроме того, атакующие использовали новый загрузчик, который в Group-IB назвали TontoTeam.Downloader (aka QuickMute).
В новом блоге специалисты Group-IB Threat Intelligence собрали индикаторы компрометации, а также привели подробный анализ инструментов, техник и процедур (TTPs) группировки. Информация в блоге поможет ИБ-компаниям, руководителям служб информационной безопасности, SOC-аналитикам, специалистам по реагированиям на инциденты, а также компаниям, потенциально находящимся в списке целей Tonto Team. Читать
#APT #TontoTeam #MXDR
636 views10:15