olarak bilinen gelişmiş kalıcı tehdit (APT) aktörü Tonto Takımı Haziran 2022’de siber güvenlik şirketi Group-IB’ye başarısız bir saldırı gerçekleştirdi.
Singapur merkezli şirket söz konusu çalışanlarını hedef alan gruptan gelen kötü niyetli kimlik avı e-postalarını tespit edip engellediğini. Aynı zamanda, ilki Mart 2021’de gerçekleşen Group-IB’yi hedef alan ikinci saldırı.
Bronze Huntley olarak da adlandırılan Tonto Takımı, Kaktüs PeteEarth Akhlut, Karma Panda ve UAC-0018, Asya ve Doğu Avrupa’daki çok çeşitli kuruluşları hedef alan saldırılarla bağlantılı olduğundan şüphelenilen bir Çinli bilgisayar korsanlığı grubudur.
Aktörün en az 2009’dan beri aktif olduğu biliniyor ve söyleniyor. bağları paylaşmak Üçüncü Bölüme (3PLA) Halk Kurtuluş Ordusu’nun Shenyang TRB’sinden (Birim 65016).
Saldırı zincirleri, Bisonal, Dexbia ve ShadowPad (aka PoisonPlug) gibi arka kapıları bırakmak için Royal Road Rich Text Format (RTF) istismar araç seti kullanılarak oluşturulan kötü amaçlı ekler içeren hedef odaklı kimlik avı yemlerini içerir.
“Biraz farklı bir yöntem […] Bu tehdit aktörü tarafından vahşi ortamda kullanılan yöntem, diğer kullanıcılara e-posta göndermek için büyük olasılıkla kimlik avı yoluyla elde edilen meşru kurumsal e-posta adreslerinin kullanılmasıdır.” ifşa 2020’de. “Bu yasal e-postaların kullanımı, kurbanların eki tıklayarak makinelerine kötü amaçlı yazılım bulaştırma şansını artırıyor.”
Düşman kolektif, Mart 2021’de, siber güvenliği ve Doğu Avrupa merkezli satın alma şirketlerini vurmak için Microsoft Exchange Server’daki ProxyLogon açıklarından yararlanan tehdit aktörlerinden biri olarak da ortaya çıktı.
Geçen yıl Rusya’nın Ukrayna’yı askeri işgaliyle aynı zamana denk gelen Tonto Ekibi’nin Bisonal kötü amaçlı yazılımıyla Rus bilimsel ve teknik kuruluşlarını ve devlet kurumlarını hedef aldığı gözlemlendi.
Group-IB’ye yönelik saldırı girişimi, tehdit aktörünün Bisonal’ı dağıtmak için Royal Road silah aracıyla oluşturulan kötü amaçlı Microsoft Office belgelerini dağıtmak için kimlik avı e-postalarından yararlanması açısından farklı değil.
Araştırmacılar Anastasia Tikhonova ve Dmitry Kupin, The Hacker News ile paylaşılan bir raporda, “Bu kötü amaçlı yazılım, virüs bulaşmış bir bilgisayara uzaktan erişim sağlıyor ve bir saldırganın bu bilgisayarda çeşitli komutlar yürütmesine izin veriyor” dedi.
Ayrıca, daha önce belgelenmemiş bir indirici de kullanılır. Hızlı Sessiz uzak bir sunucudan sonraki aşama kötü amaçlı yazılımın alınmasından birincil derecede sorumlu olan Ukrayna Bilgisayar Acil Durum Müdahale Ekibi (CERT-UA) tarafından.
Araştırmacılar, “Çin APT’lerinin ana hedefleri casusluk ve fikri mülkiyet hırsızlığıdır” dedi. “Kuşkusuz Tonto Ekibi, bu amaç için özel olarak hazırlanmış tuzaklarla güvenlik açıklarını kullanarak kötü amaçlı belgeler sunmak için hedefli kimlik avından yararlanarak BT ve siber güvenlik şirketlerini incelemeye devam edecek.”