Ancak APT grubu, Singapur merkezli siber güvenlik devine herhangi bir zarar vermeyi başaramadı.
Gelişmiş bir kalıcı tehdit (UYGUN) Tonto Team olarak bilinen grup, Singapur merkezli Group-IB siber güvenlik firmasını ikinci kez hedef almaya çalıştı. Bu girişim de başarısız oldu. Saldırı Haziran 2022’de, ilki ise Mart 2021’de gerçekleşti.
Olay Ayrıntıları
Group-IB’ye göre tespit ettiler ve engellediler kötü amaçlı kimlik avı e-postaları çalışanlarını hedef aldı. Group-IB ekibi, 20 Haziran 2022’de kötü amaçlı etkinlik algıladı ve XDR çözümü, iki çalışanına gönderilen e-postaları engelledikten sonra bir uyarıyı tetikledi.
Ayrıntılı araştırma, Tonto Ekibi tehdit aktörlerinin meşru bir firma çalışanı gibi göründüklerini ve GMX Mail adlı ücretsiz bir e-posta hizmetiyle oluşturulmuş sahte bir e-posta kullandıklarını ortaya çıkardı. Kimlik avı e-postaları, saldırının ilk aşamasıydı. Saldırganlar, bunları kullanarak oluşturulan kötü amaçlı MS Office belgelerini teslim etmek için kullandı. Kraliyet Yolu Silahlandırıcısı.
Ayrıca, oyuncular kendi geliştirdikleri Bisonal.DoubleT arka kapısını ve Group-IB araştırmacılarının TontoTeam.Downloader (aka QuickMute) adını verdiği yeni bir indiriciyi kullandılar.
Saldırı Nasıl Gerçekleşti?
Saldırganlar, Royal RTF Weaponizer ile bir Zengin Metin Biçimi (RTF) dosyası oluşturdu. Bu silah yapıcının esas olarak tarafından kullanıldığını belirtmekte fayda var. Çin APT’si (Gelişmiş Kalıcı Tehdit) grupları.
Dosya, saldırganların şu şekilde izlenen Microsoft Equation Editor güvenlik açıkları için sahte içerikle kötü amaçlı RTF açıkları oluşturmasına izin verdi: CVE-2017-11882, CVE-2018-0802Ve CVE-2018-0798. Kötü amaçlı bir PE32 biçimindeki EXE dosyası olan şifresi çözülmüş yük, Bisonal DoubleT arka kapısı olarak sınıflandırılabilir.
bizonal. Arka Kapı İşlevsellikleriDoubleT
Bisonal.DoubleT örneğinin statik analizi yapıldı ve 2020’de keşfedilen eski versiyonuyla karşılaştırıldı. Benzer diziler belirlendi ve araştırmacılar ayrıca bir C2 sunucu iletişiminin izlerini de tespit etti.
Ek olarak, 2022 örneğinin ve aynı kötü amaçlı yazılım ailesinin diğer örneklerinin dinamik bir karşılaştırma analizini gerçekleştirdiler. Araştırmacılar, bu arka kapının güvenliği ihlal edilen ana bilgisayar hakkında proxy sunucusu adresi, sistem dili kodlaması, o anda çalışmakta olan dosyanın hesap adı, ana bilgisayar adı, sistemin başlatılmasından bu yana geçen süre ve yerel IP adresi gibi bilgileri toplayabileceği sonucuna vardı.
Güvenliği ihlal edilmiş bir cihaza uzaktan erişimi teşvik eder ve saldırgan çeşitli komutları kolayca yürütebilir. Belirli bir işlemi durdurabilir, işlemlerin bir listesini alabilir, dosyaları kontrol sunucusundan yükleyebilir ve çalıştırabilir ve yerel dil kodlamasını kullanarak diskte bir dosya oluşturabilir.
Tonto Ekibini İzleme
Tonto Ekibi ayrıca Karma Panda, HeartBeatm, Bronze Huntley, CactusPete ve Earth Akhlut olarak da anılır. Muhtemelen Çin’den bir siber casusluk grubu.
Bu APT grubu, 2009’dan beri ağırlıklı olarak askeri, hükümet, finans, enerji, eğitim, teknoloji ve sağlık kuruluşlarını hedef aldı. Başlangıçta Güney Kore, Tayvan ve Japonya’daki şirketleri hedef aldı ve daha sonra operasyonlarını ABD’ye genişletti.
Sık kullanılan grup hedef odaklı kimlik avı saldırıları ve ShadowPad, Dexbia ve Bisonal gibi arka kapıları bırakmak için RTF istismar araç seti kullanılarak oluşturulan kötü amaçlı ekler sağladı.
ALAKALI HABERLER
- Lider Siber Güvenlik Firması Kaspersky Hacklendi
- Google, siber güvenlik şirketi Mandiant’ı 5 milyar dolara satın alıyor
- Siber güvenlik firması 5B veri ihlali kayıtlarını ifşa ediyor
- Stormshield siber güvenlik ihlalinde çalınan kullanıcı verileri
- Siber güvenlik firması CloudSEK, ihlal konusunda rakibini suçluyor