TontoTeam (хакерская группировка)

Компания

Содержание

СМ. ТАКЖЕ (1)

История

2022: Group-IB заявила о нападении китайских хакеров на российские ИТ-компании

13 февраля 2023 года российская компания Group-IB, специализирующаяся на разработке технологий информационной безопасности, заявила о нападении китайских хакеров на ИТ-сектор РФ и рассказала о схеме, которую использовали злоумышленники при своих нападениях.

Инцидент датируется июнем 2022 года. Тогда система Group-IB Managed XDR выдала оповещение о блокировке вредоносных писем, которые пришли двум сотрудникам компании. Кроме Group-IB, в получателях значились несколько десятков ведущих ИТ- и ИБ-компаний — все цели находились в России. Для вредоносной рассылки злоумышленники использовали фальшивую почту, зарегистрированную в популярном бесплатном почтовом сервисе GMX Mail (Global Message eXchange). Однако сама переписка велась от имени реального сотрудника ИБ-компании, якобы отправившего «протокол встречи» с обсуждением безопасности облачной инфраструктуры.

Российская компания Group-IB заявила о нападении китайских хакеров на ИТ-сектор РФ

В ходе исследования специалисты Group-IB Threat Intelligence получили несколько доказательств причастности к этой атаке китайской прогосударственной группы TontoTeam (aka HeartBeat, Karma Panda, CactusPete, Bronze Huntley, Earth Akhlut).

Хакеры использовали фишинговые электронные письма для доставки документов Microsoft Office, которые были созданы в компоновщике вредоносных RTF-эксплойтов Royal Road Weaponizer. Этот инструмент уже давно активно используется китайскими прогосударственными группами, заявили в Group-IB.Как с помощью EvaProject и EvaWiki построить прозрачную бесшовную среду для успешной работы крупного холдинга 2.1 т

В ходе атаки был обнаружен бэкдор Bisonal.DoubleT. Этот инструмент является уникальной разработкой китайской прогосударственной группы Tonto Team и используется хакерами как минимум с 2019 года. Кроме того, атакующие использовали новый загрузчик, который Group-IB назвали TontoTeam.Downloader (aka QuickMute).[1]

Примечания