概述
Tonto APT组织是一个针对特定目标的网络攻击组织,其活动主要集中在亚洲,一直在传播Bisonal恶意软件(后门),最近的样本案例经分析,该组织正在使用白加黑的方式进行攻击。具体流程图如下:
本次攻击活动主要使用了DLL侧载手段:DLL侧载攻击已经成为现代恶意软件攻击的一种常见手段,攻击者可以通过DLL侧载攻击绕过系统的安全防护机制,实现恶意软件的隐藏和持久化。攻击者可以使用不正当的手段绕过应用程序的安全检查和验证,欺骗受害者,以达到恶意目的。
Tonto攻击行为特征及识别方法
APT通常使用高度定制化的攻击手段,Tonto也不例外,它会针对特定目标进行高度定制的攻击,包括定向钓鱼、社会工程攻击和恶意文件传播等。
攻击特征
Tonto通常以邮件钓鱼的方式来进行初步渗透、获取目标信息或者执行附件payload,这是一种针对特定的个人、组织或职位的钓鱼攻击形式。与普通大规模垃圾邮件钓鱼不同,定向钓鱼的攻击针对性更强,使用更具个性化的手段,旨在欺骗受害者。但一般会选择特定的目标,例如公司高级管理人员、政府官员或重要的业务合作伙伴。
识别方法
1. 检查邮件是否为韩文内容或者附件内容有无出现韩文字符串。
2. Tonto近期使用chm附件的方式进行传播。
因此,我们应培养安全意识:提高对钓鱼攻击的认识,妥善处理不明来源的文件和请求。
Tonto攻击示例样本分析
Tonto团队参与在韩国分发CHM恶意文件的活动已经得到证实,他们一直以各种方式绕过检测,虽然直到ReVBShell接受C2命令的方式保持不变,但在最后下载恶意程序和操作过程会发生一些改变。
关于Tonto
Tonto组织至少从2009年开始活跃,攻击链设计鱼叉以及网络钓鱼的诱饵,其中包含RTF文本格式开发工具包创建的恶意附件,以投放Bisonal、Dexbia和ShadowPad等后门。他们会尝试使用各种手段,例如通过钓鱼获取合法的企业电子邮件地址,向其他员工发送邮件。因此应注意对邮件的一些侦别或提防。
江民赤豹反病毒实验室给出的对抗防御措施
1、安装江民反病毒产品并将病毒库升级为最新版本,并定期进行全盘扫描。
2、在使用移动介质前,应对移动介质内文件进行扫描确认不携带病毒文件。
3、不打开陌生电子邮件,防止鱼叉式钓鱼式攻击。
4、及时更新操作系统及应用软件补丁,防止漏洞利用攻击。
5、为本机管理员账号设置较为复杂的密码,预防病毒通过密码猜测进行传播,最好是数字与字母组合的密码。
6、不要从不可靠的渠道下载软件,因为这些软件很可能是带有病毒的。
7、定期进行目标机器的异常检查,包括是否出现新增账户、Guest是否被启用、系统日志是否存在异常、杀毒软件是否存在异常拦截等。
关于江民赤豹反病毒实验室
江民赤豹反病毒实验室专注反病毒技术研究,拥有自主研发文件威胁检测引擎、AI威胁检测引擎、流迭代威胁检测引擎等多款反病毒引擎产品,形成了全平台的恶意代码防御体系,并针对日新月异的网络安全环境,提供安全事件应急响应、恶意代码分析处置等多种安全服务。赤豹反病毒实验室致力于提供了全面、系统、一体化的网络安全防护,为客户提供强大技术支撑。