Massiver HTTP-DDoS-Angriff erreicht Rekordwert von 71 Millionen Anfragen/Sekunde

Das gegnerische Kollektiv trat im März 2021 auch als einer der Bedrohungsakteure auf, die die ProxyLogon-Schwachstellen in Microsoft Exchange Server ausnutzten, um Cybersecurity- und Beschaffungsunternehmen in Osteuropa anzugreifen.

Zeitgleich mit Russlands militärischer Invasion in der Ukraine im vergangenen Jahr wurde das Tonto-Team dabei beobachtet, wie es mit der Bisonal-Malware russische wissenschaftliche und technische Unternehmen und Regierungsbehörden angriff.

Der Angriffsversuch auf Group-IB unterscheidet sich insofern nicht von den anderen Angriffen, als der Bedrohungsakteur Phishing-E-Mails nutzte, um bösartige Microsoft Office-Dokumente zu verbreiten, die mit dem Royal Road Waffensystem erstellt wurden, um Bisonal einzusetzen.

"Diese Malware ermöglicht den Fernzugriff auf einen infizierten Computer und erlaubt es einem Angreifer, verschiedene Befehle auf diesem auszuführen", so die Forscher Anastasia Tikhonova und Dmitry Kupin in einem Bericht, der The Hacker News vorliegt.

Außerdem wird ein bisher nicht dokumentierter Downloader eingesetzt, der vom Computer Emergency Response Team of Ukraine (CERT-UA) als QuickMute bezeichnet wird und in erster Linie dafür verantwortlich ist, die nächste Stufe der Malware von einem entfernten Server abzurufen.

"Die Hauptziele chinesischer APTs sind Spionage und der Diebstahl geistigen Eigentums", so die Forscher. "Zweifellos wird das Tonto-Team weiterhin IT- und Cybersicherheitsunternehmen unter die Lupe nehmen, indem es Spear-Phishing einsetzt, um bösartige Dokumente unter Ausnutzung von Schwachstellen mit speziell für diesen Zweck vorbereiteten Täuschungen zu versenden."