Июньская провальная атака на Group-IB — дело рук китайской Tonto Team
Главная » Новости
Гибридные облака: как и зачем их строятДо 70% российских компаний уже используют гибридное облако: часть инфраструктуры остаётся on-prem, часть переносится в публичные облака. Это рабочая модель, которая ускоряет запуск сервисов, даёт гибкое масштабирование и поддержку AI-нагрузок при сохранении контроля над данными. 14 мая в 11:00 в эфире AM Live разберём, как работает гибрид, когда облака дают максимум выгоды, как выбрать провайдера и какие ошибки чаще всего допускают→ Зарегистрироваться
Реклама. ООО «АМ Медиа», ИНН 7703628151, 16+

Июньская провальная атака на Group-IB — дело рук китайской Tonto Team

Татьяна Никитина 13 Февраля 2023 - 14:34
...
Июньская провальная атака на Group-IB — дело рук китайской Tonto Team

Аналитики из Group-IB опубликовали подробности летней кибератаки APT-группы Tonto Team, которой многие исследователи приписывают китайские корни. Вредоносные письма, разосланные на адреса сотрудников компании, были вовремя обнаружены и заблокированы; аналогичные послания получили несколько десятков российских ИТ- и ИБ-вендоров.

По данным GIB, хакерская группировка Tonto Team специализируется на кибершпионаже и краже интеллектуальной собственности как минимум с 2009 года. Изначально ее интересовали только мишени в Южной Корее, Японии, США и на Тайване, но к 2020 году целевые атаки распространились на страны Восточной Европы.

Летние вторжения начинались с адресного письма с вредоносным вложением — документом Microsoft Office с RTF-эксплойтом, созданным с помощью компоновщика Royal Road. Для проведения рассылок злоумышленники зарегистрировали почтовый ящик на бесплатном сервисе GMX Mail (Global Message eXchange).

Сообщения распространялись от имени реального сотрудника целевой компании. Из используемых эксплойтов были выявлены не утратившие актуальность CVE-2017-11882, CVE-2018-0802 и CVE-2018-0798 для Equation Editor (Microsoft от него отказалась в 2018 году).

 

После отработки эксплойта в систему загружается кастомный бэкдор Bisonal, который Tonto Team использует с 2019 года. Вредонос обеспечивает хакерам удаленный доступ и позволяет выполнять различные команды на зараженной машине. Для их получения он обращается к японскому серверу, который и ранее использовался в атаках APT-группы.

Основные функциональные возможности Bisonal:

  • сбор информации о скомпрометированном хосте (языковая кодировка системы, адрес прокси-сервера, время с момента загрузки системы, имя хоста, имя учетной записи, из-под которой запущен файл, локальный IP-адрес);
  • получение списка процессов;
  • завершение указанного процесса;
  • получение удаленного доступа к cmd.exe;
  • загрузка файла с командного сервера и его запуск;
  • создание файла на диске с использованием локальной языковой кодировки.

В ходе летних атак китайские хакеры также использовали другую полезную нагрузку — ранее недокументированный бэкдор QuickMute.

Все IoC, подтверждающие атрибуцию, приведены в блог-записи Group-IB, посвященной разбору APT-атак. Как выяснилось, это уже вторая атака Tonto Team против Group-IB; первая была проведена летом 2021 года и тоже оказалась провальной.

Следующая главная новость »
AM LiveЗащита мобильных приложений: где бизнес теряет данные?
Регистрируйтесь на эфир!

Фанаты Minecraft тайно скачали 24 ТБ истории сервера 2b2t
Екатерина Быстрова 19 Мая 2026 - 15:05
Домашние пользователи Системы защиты данных от потериСистемы резервного копирования и восстановление данных
Фанаты Minecraft тайно скачали 24 ТБ истории сервера 2b2t

Фанаты Minecraft завершили один из самых безумных проектов цифровой археологии: они скачали и заархивировали 24 ТБ данных с легендарного сервера 2b2t. В архив вошла область размером 1 024 000 × 1 024 000 блоков в Overworld, а также части Nether и End.

2b2t — старейший и самый знаменитый анархический сервер Minecraft. Ему уже 16 лет, правил там почти нет, банов тоже, а культура соответствующая: разрушенные базы, выжженные ландшафты, следы старых войн и архитектурные руины всех эпох. Короче, не сервер, а цифровые Помпеи.

Проект работал годами. Участники потратили тысячи долларов, кучу времени и действовали максимально тихо. Причина простая: не всем игрокам 2b2t нравится идея, что их скрытые базы и неизведанные территории кто-то аккуратно складывает в архив. Если бы ботов архиваторов заметили, их, скорее всего, начали бы травить всем сервером.

В итоге команде удалось скачать несколько крупных регионов: миллион на миллион блоков Overworld, меньший участок Overworld, часть End и часть Nether. Теперь всё это планируют оформить в торрент. Правда, скачать такой сувенир на память смогут только самые терпеливые.

Помимо самого архива, авторы проекта обещают выложить рендеры высокого разрешения и таблицы для анализа данных. А ещё намекают, что это не последний крупный дамп мира Minecraft.

AM LiveЗащита мобильных приложений: где бизнес теряет данные?
Регистрируйтесь на эфир!
На Госуслугах появится кнопка для жалоб на просьбы отключить VPN
Новость
На Госуслугах появится кнопка для жалоб на просьбы отключить...
ЦИПР-2026 бесплатно откроет выставку для всех желающих в последний день
Новость
ЦИПР-2026 бесплатно откроет выставку для всех желающих в пос...
Rubytech представила новую систему серверной виртуализации Скала^р МДИ.В
Новость
Rubytech представила новую систему серверной виртуализации С...

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2026. Все права защищены.