被称为Tonto Team的高级持续性威胁(APT)行为者在2022年6月对网络安全公司Group-IB进行了一次不成功的攻击。
这家总部位于新加坡的公司表示,它检测并阻止了来自该集团针对其员工的恶意网络钓鱼邮件。这也是针对Group-IB的第二次攻击,第一次发生在2021年3月。
Tonto Team,也叫Bronze Huntley、Cactus Pete、Earth Akhlut、Karma Panda和UAC-0018,是一个可疑的CN黑客组织,与针对亚洲和东欧的各种组织的攻击有关。
据了解,该行动者至少从2009年开始活跃,据说与CN-PLA沈阳TRB(65016ARMY)第三部(3PLA)有共同的联系。
攻击链涉及鱼叉式网络钓鱼的诱饵,其中包含使用皇家道路富文本格式(RTF)开发工具包创建的恶意附件,以投放Bisonal、Dexbia和ShadowPad(又名PoisonPlug)等后门。
"这个威胁行为者在野外使用的一个稍微不同的方法[...]是使用合法的公司电子邮件地址,很可能是通过网络钓鱼获得的,向其他用户发送电子邮件,"趋势科技在2020年披露。"使用这些合法的电子邮件增加了受害者点击附件的机会,使他们的机器感染了恶意软件。"
2021年3月,这个敌对集体还成为利用微软Exchange服务器的ProxyLogon缺陷攻击东欧的网络安全和采购公司的威胁者之一。
恰逢RUS去年对UA的军事入侵,Tonto团队被观察到用Bisonal恶意软件针对俄罗斯科技企业和政府机构。
对Group-IB的尝试性攻击没有什么不同,因为威胁行为者利用钓鱼邮件来分发用 "皇家之路 "武器创建的恶意微软Office文档。
威胁者利用钓鱼邮件分发用Royal Road weaponizer创建的恶意微软办公室文件,以部署Bisonal。
"研究人员Anastasia Tikhonova和Dmitry Kupin在与《黑客新闻》分享的一份报告中说:"这种恶意软件提供对受感染计算机的远程访问,并允许攻击者在上面执行各种命令。
还采用了一个以前没有记录的下载器,被乌克兰计算机应急小组(CERT-UA)称为QuickMute,它主要负责从远程服务器检索下一阶段的恶意软件。
"CN-APTs的主要目标是间谍活动和知识产权盗窃,"研究人员说。"毫无疑问,Tonto Team将不断探测IT和网络安全公司,利用鱼叉式网络钓鱼,利用专门为此准备的诱饵的漏洞,提供恶意文件"。
声明:本文相关资讯来自thehackernews,版权归作者所有,转载目的在于传递更多信息。如有侵权,请联系本站处理。