O actor avançado de ameaça persistente (APT) conhecido como Equipa Tonto levou a cabo um ataque infrutífero à empresa ciber-segurança Group-IB em Junho de 2022.
A empresa com sede em Singapura disse que detectou e bloqueou e-mails de phishing maliciosos provenientes do grupo que visava os seus empregados. É também o segundo ataque dirigido ao Group-IB, o primeiro dos quais teve lugar em Março de 2021.
Equipa Tonto, também chamada Bronze Huntley, Cactus PeteEarth Akhlut, Karma Panda, e UAC-0018, é um grupo suspeito de hacking chinês que tem estado ligado a ataques que visam uma vasta gama de organizações na Ásia e Europa de Leste.
O actor é conhecido por ser activo desde pelo menos 2009 e diz-se que laços de partilha para o Terceiro Departamento (3PLA) do Exército de Libertação do Povo de Shenyang TRB (Unidade 65016).
As correntes de ataque envolvem iscas de pesca com lança contendo anexos maliciosos criadas usando o conjunto de ferramentas de exploração do Royal Road Rich Text Format (RTF) para deixar cair backdoors como Bisonal, Dexbia, e ShadowPad (aka PoisonPlug).
“Um método ligeiramente diferente […] utilizado por este actor da ameaça na natureza é a utilização de endereços de e-mail empresariais legítimos, muito provavelmente obtidos por phishing, para enviar e-mails a outros utilizadores,” Trend Micro divulgado em 2020. “A utilização destes e-mails legítimos aumenta as hipóteses das vítimas clicarem no anexo, infectando as suas máquinas com malware”.
O colectivo adversário, em Março de 2021, também surgiu como um dos actores da ameaça de explorar as falhas do ProxyLogon no Microsoft Exchange Server para atacar a ciber-segurança e a aquisição de empresas sediadas na Europa de Leste.
Coincidindo com a invasão militar russa da Ucrânia no ano passado, a Equipa Tonto foi observada a visar empresas científicas e técnicas russas e agências governamentais com o malware bisonal.
A tentativa de ataque ao Group-IB não é diferente na medida em que o actor da ameaça aproveitou os e-mails de phishing para distribuir documentos maliciosos do Microsoft Office criados com o armador da Royal Road para a distribuição de Bisonal.
“Este malware fornece acesso remoto a um computador infectado e permite que um atacante execute vários comandos sobre ele”, disseram os investigadores Anastasia Tikhonova e Dmitry Kupin num relatório partilhado com The Hacker News.
Também é utilizado um descarregador anteriormente não documentado referido como QuickMute pela Equipa de Resposta de Emergência Informática da Ucrânia (CERT-UA), que é a principal responsável pela recuperação de malware da próxima fase a partir de um servidor remoto.
“Os principais objectivos dos APTs chineses são a espionagem e o roubo da propriedade intelectual”, disseram os investigadores. “Sem dúvida, a Tonto Team continuará a sondar empresas de TI e de segurança cibernética, aproveitando a pesca submarina para entregar documentos maliciosos utilizando vulnerabilidades com chamarizes especialmente preparados para este fim”.