13.02.2023, 13:15
Количество просмотров 708

Group-IB обнаружила связь кибератак на IT-компании с группой Tonto Team

Специалисты Group-IB Threat Intelligence впервые раскрыли подробности кибератак на ведущие российские IT-компании летом 2022 года.
Group-IB обнаружила связь кибератак на IT-компании с группой Tonto Team

Среди получателей вредоносной рассылки оказалась и Group-IB, однако система Group-IB Managed XDR обнаружила, и заблокировала подозрительные письма. Эксперты собрали технические доказательства связи выявленной кибератаки с прогосударственной группой Tonto Team, которую многие исследователи относят к Китаю.

20 июня 2022 года система Group-IB Managed XDR, способная обнаруживать и останавливать сложные киберугрозы, выдала оповещение о блокировке вредоносных писем, которые пришли двум сотрудникам компании. Кроме Group-IB, в получателях значились несколько десятков ведущих IT и ИБ-компаний — все цели находились в России (согласно действующему протоколу, они были уведомлены об угрозе).

Для вредоносной рассылки злоумышленники использовали фальшивую почту, зарегистрированную в популярном бесплатном почтовом сервисе GMX Mail (Global Message eXchange). Однако сама переписка велась от имени реального сотрудника ИБ-компании, якобы отправившего «протокол встречи» с обсуждением безопасности облачной инфраструктуры.

В ходе исследования специалисты Group-IB Threat Intelligence получили несколько доказательств причастности к этой атаке прогосударственной группы TontoTeam (aka HeartBeat, Karma Panda, CactusPete, Bronze Huntley, Earth Akhlut), которую эксперты связывают с Китаем.

Хакеры использовали фишинговые электронные письма для доставки документов Microsoft Office, которые были созданы в компоновщике вредоносных RTF-эксплойтов Royal Road Weaponizer. Этот инструмент уже давно активно используется китайскими прогосударственными группами.

В ходе атаки был обнаружен бэкдор Bisonal.DoubleT. Этот инструмент является уникальной разработкой китайской прогосударственной группы Tonto Team и используется хакерами как минимум с 2019 года. Кроме того, атакующие использовали новый загрузчик, который Group-IB назвали TontoTeam.Downloader (aka QuickMute).

Рубрика:
{}Безопасность
Новости в вашей почте
mail

PLUSworld в соцсетях:
telegram
vk
dzen
youtube
ЕЩЁ НОВОСТИ