Tonto Team - это группа угроз, нацеленная в основном на азиатские страны и распространяющая вредоносное ПО Bisonal. Центр экстренного реагирования AhnLab Security Emergency response Center (ASEC) отслеживает атаки Tonto Team на корейские образовательные, строительные, дипломатические и политические учреждения. Последние случаи показали, что группа использует файл, связанный с продуктами защиты от вредоносного ПО, для осуществления своих вредоносных атак.
Участие команды Tonto Team в распространении вредоносной программы CHM в Корее подтверждается с 2021 года, и они меняют свои методы различными способами, чтобы обойти обнаружение. Общий процесс работы самого последнего метода показан на рисунке 1. Хотя до момента, когда ReVBShell используется для получения команд агента угрозы, все остается неизменным, последующие этапы, такие как тип вредоносного ПО, которое в конечном итоге загружается, и процесс работы, постепенно меняются. Каждый процесс будет объяснен ниже.
Процесс декомпиляции CHM-файла идентичен предыдущим процессам, но отличие заключается в том, что нормальная программа (PresentationSettings.exe), созданная после декомпиляции, регистрируется на клавишу RUN. Обычная программа, зарегистрированная на клавишу RUN, запускается при перезагрузке компьютера. После выполнения она загружает вредоносную DLL (slc.dll), созданную одновременно с помощью метода боковой загрузки DLL (T1574.002).
Загруженная вредоносная DLL создает и исполняет файл VBE в папке %TEMP%. Декодированный VBE представляет собой ReVBShell. C2 этой ReVBShell показан ниже, и она выполняет различные вредоносные действия в соответствии с указаниями угрожающего агента. Инфраструктура AhnLab Smart Defense (ASD) смогла подтвердить следующий журнал вредоносного поведения.
Indicators of Compromise
Domain Port Combinations
- hairouni.serveblog.net:8080
URLs
- http://45.133.194.135:8080/fuat/KCaseAgent64.exe
MD5
- 59f7a3fe0453ca6d27ba3abe78930fdf
- d5e6dc253a5584b178ae3c758120da4d
- fe1161885005ac85f89accf703ce27bb