Siber Savaş / Ulus Devlet Saldırıları , Dolandırıcılık Yönetimi ve Siber Suçlar
Tonto Ekibi, Group-IB Çalışanlarını Hedef Almak İçin Spear-Phishing E-postalarını Kullandı
Jayant Chakraborty (@JayJay_Tech) •
14 Şubat 2023
Tehdit istihbaratı şirketi Group-IB’nin analizine göre, ele geçirilen bir kimlik avı e-postası, Tonto Team olarak bilinen Çin devlet destekli casusluk tehdidi aktörünün bilgisayar korsanlığı tekniklerini ortaya koyuyor.
Ayrıca bakınız: Canlı Web Semineri | Çok Faktörlü Kimlik Doğrulamayı Hackleme: Bir BT Uzmanının 150 MFA Ürününü Test Ettikten Sonra Öğrendiği Dersler
Güvenlik şirketi, Temmuz 2022’de kendi çalışanlarına yönelik Rusça kimlik avı girişiminin, tarihsel olarak Güney Kore, Japonya, Tayvan ve ABD’yi hedef alan ancak operasyonlarını Asya ve Doğu Avrupa ülkelerini de içerecek şekilde genişleten Çinli tehdit aktöründen geldiğini söylüyor.
ABD-Çin Ekonomik ve Güvenlik İnceleme Komisyonu tarafından yapılan sınıflandırılmamış analiz, Tonto Ekibinin 2017’de Amerikan yapımı bir anti-balistik füze savunma sistemi konuşlandırmaya dahil olan birkaç Güney Kore kuruluşunu hacklediği bildirilen Halk Kurtuluş Ordusu’nun bir birimi olabileceğini ortaya çıkardı. 2021’de siber güvenlik firması Eset, Microsoft Exchange’deki ciddi güvenlik açıklarından yararlanan Çin devlet destekli bilgisayar korsanları seline katıldığını tespit etti. Malwarebytes, yaz boyunca grubun Rus devlet kurumlarına karşı casusluk operasyonlarını hızlandırdığını gördü.
Grup-1B’nin Tonto Grubu’ndan gelen kimlik avı girişimini sonuçlandırmasına tek bir faktör neden olmadı, ancak ipuçları birikmeye başladı. Kimlik avı e-postasına eklenen sahte belge, varsayılan dilin “Çin Çin Halk Cumhuriyeti” olduğunu ortaya çıkaran meta veriler içeriyordu. Ek, “esas olarak Çinli APT grupları tarafından kullanılan” bir kötü amaçlı yazılım aracı olan Royal Road RTF Weaponizer ile oluşturulmuş zengin metin biçiminde bir dosyaydı.
Kötü amaçlı yük, Group-IB’nin 2020’de Kaspersky tarafından analiz edilen ve aynı Çince konuşan siber casusluk grubuna atfedilen bir arka kapıyla şaşırtıcı benzerlikler gösterdiğini tespit ettiği bir uzaktan erişim arka kapısıydı. Kaspersky, Tonto Ekibini CactusPete olarak takip ediyor.
Kötü amaçlı yazılımın arkasındaki ağ altyapısı, daha önce Tonto Team saldırılarında görülen bir IP adresi kullanıyordu. Kaspersky daha önceki bir raporda, tehdit grubunun kimlik bilgilerini toplamak için Mimikatz türevlerini ve keylogger’ları ve korunan verilere yetkisiz erişim elde etmek için ayrıcalık yükseltme kötü amaçlı yazılımlarını kullandığını belirtmişti (bkz.: Hacking Grubu Avrupa Bankalarını ve Orduyu Hedefliyor).