خبرکاو:

 13 فوریه 2023  اطلاعات تهدید سایبری Ravie Lakshmanan

بازیگر تهدید مداوم پیشرفته (APT) معروف به تیم Tonto در ژوئن 2022 حمله ناموفقی را به شرکت امنیت سایبری Group-IB انجام داد.

این شرکت که مقر آن در سنگاپور است، بيان کرد که ایمیل‌های فیشینگ مخربی را که از گروهی که کارمندانش را هدف قرار می‌دهند، شناسایی و مسدود کرده است. همچنین این دومین حمله ای است که گروه-IB را هدف گرفته است که اولین مورد آن در مارس 2021 انجام شد.

دیگر اخبار

Daily Crunch: Airtable بیش از 250 نفر را اخراج می کند زیرا مدیر عامل شرکت اهمیت “یک سازمان ناب بودن” را بیان می کند.

تیم تونتو که برنز هانتلی، کاکتوس پیت، زمین آخلوت، کارما پاندا و UAC-0018 نیز نامیده می‌شود، یک گروه هکر چینی مشکوک است که با حملاتی مرتبط است که طیف گسترده‌ای از سازمان‌ها را در آسیا و اروپای شرقی هدف قرار می‌دهند.

این بازیگر حداقل از سال 2009 فعال شناخته شده است و گفته می شود که با بخش سوم (3PLA) ارتش آزادیبخش خلق شنیانگ TRB (واحد 65016) ارتباط دارد.

زنجیره‌های حمله شامل فریب‌های فیشینگ نیزه‌ای هستند که حاوی پیوست‌های مخربی هستند که با استفاده از جعبه ابزار بهره‌برداری Royal Road Rich Text Format (RTF) برای حذف درب‌های پشتی مانند Bisonal، Dexbia و ShadowPad (معروف به PoisonPlug) ایجاد شده‌اند.

Trend Micro در سال 2020 فاش کرد: "روش کمی متفاوت [...] که توسط این عامل تهدید در طبیعت استفاده می شود، استفاده از آدرس های ایمیل قانونی شرکت ها است که به احتمال زیاد از طریق فیشینگ به دست آمده اند، برای ارسال ایمیل به سایر کاربران." این ایمیل‌های قانونی، شانس قربانیان را افزایش می‌دهد که روی پیوست کلیک کنند و دستگاه‌هایشان را با بدافزار آلوده کنند."

گروه متخاصم، در مارس 2021، همچنین به عنوان یکی از بازیگران تهدید برای سوء استفاده از نقص‌های ProxyLogon در Microsoft Exchange Server برای ضربه زدن به امنیت سایبری و شرکت‌های خرید مستقر در اروپای شرقی ظاهر شد.

بیشتر بخوانید

اینستاگرام فیلتر شد؟

همزمان با تهاجم نظامی روسیه به اوکراین در سال گذشته، تیم تونتو مشاهده شد که شرکت های علمی و فنی روسیه و سازمان های دولتی را با بدافزار Bisonal هدف قرار می دهد.

تلاش برای حمله به Group-IB تفاوتی ندارد زیرا عامل تهدید از ایمیل‌های فیشینگ برای توزیع اسناد مخرب Microsoft Office ایجاد شده با سلاح‌ساز Royal Road برای استقرار Bisonal استفاده می‌کند.

محققان آناستازیا تیخونوا و دیمیتری کوپین در گزارشی که با The Hacker News به اشتراک گذاشته شده است، می‌گویند: «این بدافزار دسترسی از راه دور به یک رایانه آلوده را فراهم می‌کند و به مهاجم اجازه می‌دهد تا دستورات مختلفی را روی آن اجرا کند».

همچنین یک دانلودکننده بدون سند قبلی که توسط تیم واکنش اضطراری رایانه اوکراین (CERT-UA) به عنوان QuickMute نامیده می‌شود، استفاده می‌شود که مسئول اصلی بازیابی بدافزار مرحله بعدی از یک سرور راه دور است.

محققان گفتند: "اهداف اصلی APTهای چینی جاسوسی و سرقت مالکیت معنوی است. " بدون شک، تیم Tonto به تحلیل شرکت‌های IT و امنیت سایبری با استفاده از spear-phishing برای ارائه اسناد مخرب با استفاده از آسیب‌پذیری‌ها با فریب‌هایی که مخصوص این منظور تهیه شده‌اند، ادامه خواهد داد.

این مقاله جالب بود؟ ما را در توییتر  و لینکدین دنبال کنید تا محتوای اختصاصی بیشتری را که پست می کنیم بخوانید.

خبرکاو