被稱爲Tonto Team的高級持續性威脅(APT)行爲者在2022年6月對網絡安全公司Group-IB進行了一次不成功的攻擊。
這家總部位於新加坡的公司表示,它檢測並阻止了來自該集團針對其員工的惡意網絡釣魚郵件。這也是針對Group-IB的第二次攻擊,第一次發生在2021年3月。
Tonto Team,也叫Bronze Huntley、Cactus Pete、Earth Akhlut、Karma Panda和UAC-0018,是一個可疑的CN黑客組織,與針對亞洲和東歐的各種組織的攻擊有關。
據瞭解,該行動者至少從2009年開始活躍,據說與CN-PLA瀋陽TRB(65016ARMY)第三部(3PLA)有共同的聯繫。
攻擊鏈涉及魚叉式網絡釣魚的誘餌,其中包含使用皇家道路富文本格式(RTF)開發工具包創建的惡意附件,以投放Bisonal、Dexbia和ShadowPad(又名PoisonPlug)等後門。
"這個威脅行爲者在野外使用的一個稍微不同的方法[...]是使用合法的公司電子郵件地址,很可能是通過網絡釣魚獲得的,向其他用戶發送電子郵件,"趨勢科技在2020年披露。"使用這些合法的電子郵件增加了受害者點擊附件的機會,使他們的機器感染了惡意軟件。"
2021年3月,這個敵對集體還成爲利用微軟Exchange服務器的ProxyLogon缺陷攻擊東歐的網絡安全和採購公司的威脅者之一。
恰逢RUS去年對UA的軍事入侵,Tonto團隊被觀察到用Bisonal惡意軟件針對俄羅斯科技企業和政府機構。
對Group-IB的嘗試性攻擊沒有什麼不同,因爲威脅行爲者利用釣魚郵件來分發用 "皇家之路 "武器創建的惡意微軟Office文檔。
威脅者利用釣魚郵件分發用Royal Road weaponizer創建的惡意微軟辦公室文件,以部署Bisonal。
"研究人員Anastasia Tikhonova和Dmitry Kupin在與《黑客新聞》分享的一份報告中說:"這種惡意軟件提供對受感染計算機的遠程訪問,並允許攻擊者在上面執行各種命令。
還採用了一個以前沒有記錄的下載器,被烏克蘭計算機應急小組(CERT-UA)稱爲QuickMute,它主要負責從遠程服務器檢索下一階段的惡意軟件。
"CN-APTs的主要目標是間諜活動和知識產權盜竊,"研究人員說。"毫無疑問,Tonto Team將不斷探測IT和網絡安全公司,利用魚叉式網絡釣魚,利用專門爲此準備的誘餌的漏洞,提供惡意文件"。
聲明:本文相關資訊來自thehackernews,版權歸作者所有,轉載目的在於傳遞更多信息。如有侵權,請聯繫本站wosign.com處理。