Group-IB: связь кибератак на IT-компании с группой Tonto Team

13.02.2023
Специалисты Group-IB Threat Intelligence впервые раскрыли подробности кибератак на ведущие российские IT-компании летом 2022 года. Среди получателей вредоносной рассылки оказалась и Group-IB, однако система Group-IB Managed XDR обнаружила, и заблокировала подозрительные письма.

В новом блоге эксперты Group-IB собрали технические доказательства связи выявленной кибератаки с прогосударственной группой Tonto Team, которую многие исследователи относят к Китаю.

Протокольная рассылка

20 июня 2022 года система Group-IB Managed XDR, способная обнаруживать и останавливать сложные киберугрозы, выдала оповещение о блокировке  вредоносных писем, которые пришли двум сотрудникам компании. Кроме Group-IB, в получателях значились несколько десятков ведущих IT и ИБ-компаний — все цели находились в России (согласно действующему протоколу они были уведомлены об угрозе).

Для вредоносной рассылки злоумышленники использовали фальшивую почту, зарегистрированную в популярном бесплатном почтовом сервисе GMX Mail (Global Message eXchange). Однако сама переписка велась от имени реального сотрудника ИБ-компании, якобы отправившего «протокол встречи» с обсуждением безопасности облачной инфраструктуры.

В ходе исследования специалисты Group-IB Threat Intelligence получили несколько доказательств причастности к этой атаке прогосударственной группы TontoTeam (aka HeartBeat, Karma Panda, CactusPete, Bronze Huntley, Earth Akhlut), которую эксперты связывают с Китаем.

Хакеры использовали фишинговые электронные письма для доставки документов Microsoft Office, которые были созданы в компоновщике вредоносных RTF-эксплойтов Royal Road Weaponizer. Этот инструмент уже давно активно используется китайскими прогосударственными группами.

В ходе атаки был обнаружен бэкдор Bisonal.DoubleT. Этот инструмент является уникальной разработкой китайской прогосударственной группы Tonto Team и используется хакерами как минимум с 2019 года. Кроме того, атакующие использовали новый загрузчик, который Group-IB назвали TontoTeam.Downloader (aka QuickMute).

В группе риска

Начиная с 2009 года Tonto Team нацелена на правительственные, военные, финансовые, образовательные учреждения, а также энергетические, медицинские и технологические компании. Группа изначально работала исключительно по Южной Корее, Японии, Тайваню и США, но к 2020 году среди ее целей оказались страны Восточной Европы.

В 2023 году IT-компании остаются одной из самых привлекательных мишений для кибератак, говорится в свежем аналитическом отчете «Эволюция киберпреступности. Анализ, тренды и прогнозы 2022/2023». Tonto Team не раз проявляла интерес к сектору информационных технологий. Например, в марте 2021 группа взломала почтовые серверы закупочной компании и консалтинговой компании, специализирующейся на разработке программного обеспечения и кибербезопасности, базирующихся в Восточной Европе.

«Геополитический кризис втянул в кибервойну не только хакерские группировки и активистов из стран-участниц конфликта. Свою выгоду пытались извлечь даже страны, которые в нем напрямую не участвуют, — замечает Анастасия Тихонова, руководитель группы исследования сложных угроз Group-IB Threat Intelligence, — Выбор IT-компании в качестве цели очевиден: скомпрометированная инфраструктура вендора открывает широкие возможности для атакующих продвинуться дальше по сети и получить доступ к огромному пулу его клиентов и партнеров. В ходе исследования выяснилось, что у Tonto Team это вторая неудачная попытка «пробить» защиту — первая была предпринята летом 2021 Group-IB. Вредоносную рассылку также обезвредила система Group-IB Managed XDR».

В опубликованном блоге специалисты Group-IB Threat Intelligence приводят индикаторы компрометации, связанные с кампанией Tonto Team, а также дают подробный анализ инструментов, техник и процедур (TTPs) группировки, описанных на основе матрицы MITRE ATT&CK (Adversarial Tactics, Techniques & Common Knowledge). Эти сведения будут полезны ИБ-компаниям, а также руководителям служб информационной безопасности, SOC-аналитикам, специалистам по реагированиям на инциденты, а также компаниям, потенциально находящихся в списке целей Tonto Team.

Читайте также
Кадровый электронный документооборот — это современный способ организации работы с кадровыми документами. У многих организаций возникают трудности: какую систему внедрять и как сделать ее использование эффективным. В статье рассмотрим топ-5 самых распространенных вопросов, которые чаще всего мешают действовать.

Похожие статьи