هکرهای چینی شرکت امنیت سایبری Group-IB را هدف قرار می دهند
با این حال، گروه APT نتوانسته هیچ آسیبی به غول امنیت سایبری مستقر در سنگاپور وارد کند.
یک گروه تهدید دائمی پیشرفته ( APT ) که به نام Tonto Team شناخته می شود، برای دومین بار شرکت امنیت سایبری Group-IB مستقر در سنگاپور را هدف قرار داده است. این تلاش نیز با شکست مواجه شده است. این حمله در ژوئن 2022 رخ داد، در حالی که اولین مورد در مارس 2021 رخ داد.
جزئیات حادثه
به گفته Group-IB، آنها ایمیل های فیشینگ مخربی را که کارمندان آنها را هدف قرار می دادند، شناسایی و مسدود کردند. تیم Group-IB در 20 ژوئن 2022 فعالیت مخربی را شناسایی کرد و راه حل XDR آن پس از مسدود کردن ایمیل های ارسال شده به دو نفر از کارمندان خود، هشداری را ایجاد کرد.
را هدف قرار می دهند" class="wp-image-107527" srcset="https://www.hackread.com/wp-content/uploads/2023/02/cyber-security-firm-group-ib-chinese-hackers.jpg 893w, https://www.hackread.com/wp-content/uploads/2023/02/cyber-security-firm-group-ib-chinese-hackers-300x254.jpg 300w, https://www.hackread.com/wp-content/uploads/2023/02/cyber-security-firm-group-ib-chinese-hackers-768x651.jpg 768w, https://www.hackread.com/wp-content/uploads/2023/02/cyber-security-firm-group-ib-chinese-hackers-380x322.jpg 380w, https://www.hackread.com/wp-content/uploads/2023/02/cyber-security-firm-group-ib-chinese-hackers-800x678.jpg 800w" sizes="(max-width: 893px) 100vw, 893px">تحقیقات بیشتر نشان داد که عوامل تهدید تیم Tonto به عنوان کارمند یک شرکت قانونی ظاهر شده و از ایمیل جعلی ایجاد شده با یک سرویس ایمیل رایگان به نام GMX Mail استفاده کرده اند. ایمیل های فیشینگ مرحله اولیه حمله بودند. مهاجمان از آنها برای تحویل اسناد مخرب MS Office استفاده کردند که با استفاده از Royal Road Weaponizer ایجاد شده بودند.
علاوه بر این، بازیگران از درپشتی توسعه یافته خود Bisonal.DoubleT، همراه با یک دانلودر جدید که محققان Group-IB آن را TontoTeam.Downloader (معروف به QuickMute) نامیدند، استفاده کردند.
حمله چگونه رخ داد؟
مهاجمان یک فایل Rich Text Format (RTF) را با Royal RTF Weaponizer ایجاد کردند. شایان ذکر است که این سلاح ساز عمدتا توسط گروه های چینی APT (Advanced Persistent Threat) استفاده می شود.
این فایل به مهاجمان اجازه میداد تا سوء استفادههای مخرب RTF با محتوای فریبنده برای آسیبپذیریهای Microsoft Equation Editor ایجاد کنند که بهعنوان CVE-2017-11882 ، CVE-2018-0802 ، و CVE-2018-0798 ردیابی میشوند. محموله رمزگشایی شده، یک فایل مخرب EXE با فرمت PE32، می تواند به عنوان درب پشتی DoubleT Bisonal طبقه بندی شود.
بیسونال. عملکردهای درب پشتیDoubleT
تجزیه و تحلیل استاتیکی نمونه Bisonal.DoubleT انجام شد و با نسخه قدیمی آن که در سال 2020 کشف شد مقایسه شد. رشتههای مشابهی شناسایی شدند و محققان همچنین ردپایی از ارتباط سرور C2 را شناسایی کردند.
علاوه بر این، آنها یک تجزیه و تحلیل مقایسه پویا از نمونه سال 2022 و نمونه های دیگر از همان خانواده بدافزار انجام دادند. محققان به این نتیجه رسیدند که این درپشتی میتواند اطلاعاتی را درباره میزبان در معرض خطر جمعآوری کند، مانند آدرس سرور پراکسی، رمزگذاری زبان سیستم، نام حساب برای فایل در حال اجرا، نام میزبان، زمان از زمان راهاندازی سیستم و آدرس IP محلی.
دسترسی از راه دور به یک دستگاه در معرض خطر را تشویق می کند و مهاجم می تواند به راحتی دستورات مختلفی را اجرا کند. میتواند یک فرآیند مشخص را متوقف کند، فهرستی از فرآیندها را دریافت کند، فایلها را از سرور کنترل بارگیری کند و آنها را اجرا کند و با استفاده از رمزگذاری زبان محلی، یک فایل روی دیسک ایجاد کند.
ردیابی تیم تونتو
تیم Tonto همچنین با نام های Karma Panda، HeartBeatm، Bronze Huntley، CactusPete و Earth Akhlut نیز شناخته می شود. این یک گروه جاسوسی سایبری است، احتمالاً از چین.
این گروه APT از سال 2009 عمدتاً سازمانهای نظامی، دولتی، مالی، انرژی، آموزش، فناوری و مراقبتهای بهداشتی را هدف قرار داده است. در ابتدا، شرکتهایی در کره جنوبی، تایوان و ژاپن را هدف قرار داد و بعداً فعالیتهای خود را به ایالات متحده گسترش داد.
این گروه اغلب از حملات spear-phishing استفاده میکرد و پیوستهای مخرب ایجاد شده با استفاده از جعبه ابزار بهرهبرداری RTF را برای حذف دربهای پشتی مانند ShadowPad، Dexbia و Bisonal ارائه می کرد.
اخبار مرتبط
برچسبها
|
ارسال نظر