江民赤豹反病毒：APT组织Tonto使用白加黑方式攻击东亚某国

Tonto APT组织是一个针对特定目标的网络攻击组织，其活动主要集中在亚洲，一直在传播Bisonal恶意软件（后门），最近的样本案例经分析，该组织正在使用白加黑的方式进行攻击。具体流程图如下：

本次攻击活动主要使用了DLL侧载手段：DLL侧载攻击已经成为现代恶意软件攻击的一种常见手段，攻击者可以通过DLL侧载攻击绕过系统的安全防护机制，实现恶意软件的隐藏和持久化。攻击者可以使用不正当的手段绕过应用程序的安全检查和验证，欺骗受害者，以达到恶意目的。

APT通常使用高度定制化的攻击手段，Tonto也不例外，它会针对特定目标进行高度定制的攻击，包括定向钓鱼、社会工程攻击和恶意文件传播等。

攻击特征

Tonto通常以邮件钓鱼的方式来进行初步渗透、获取目标信息或者执行附件payload，这是一种针对特定的个人、组织或职位的钓鱼攻击形式。与普通大规模垃圾邮件钓鱼不同，定向钓鱼的攻击针对性更强，使用更具个性化的手段，旨在欺骗受害者。但一般会选择特定的目标，例如公司高级管理人员、政府官员或重要的业务合作伙伴。

识别方法

1. 检查邮件是否为韩文内容或者附件内容有无出现韩文字符串。

2. Tonto近期使用chm附件的方式进行传播。

关于Tonto

Tonto组织至少从2009年开始活跃，攻击链设计鱼叉以及网络钓鱼的诱饵，其中包含RTF文本格式开发工具包创建的恶意附件，以投放Bisonal、Dexbia和ShadowPad等后门。他们会尝试使用各种手段，例如通过钓鱼获取合法的企业电子邮件地址，向其他员工发送邮件。因此应注意对邮件的一些侦别或提防。

1、安装江民反病毒产品并将病毒库升级为最新版本，并定期进行全盘扫描。

2、在使用移动介质前，应对移动介质内文件进行扫描确认不携带病毒文件。

3、不打开陌生电子邮件，防止鱼叉式钓鱼式攻击。

4、及时更新操作系统及应用软件补丁，防止漏洞利用攻击。

5、为本机管理员账号设置较为复杂的密码，预防病毒通过密码猜测进行传播，最好是数字与字母组合的密码。

6、不要从不可靠的渠道下载软件，因为这些软件很可能是带有病毒的。

7、定期进行目标机器的异常检查，包括是否出现新增账户、Guest是否被启用、系统日志是否存在异常、杀毒软件是否存在异常拦截等。

江民赤豹反病毒实验室专注反病毒技术研究，拥有自主研发文件威胁检测引擎、AI威胁检测引擎、流迭代威胁检测引擎等多款反病毒引擎产品，形成了全平台的恶意代码防御体系，并针对日新月异的网络安全环境，提供安全事件应急响应、恶意代码分析处置等多种安全服务。赤豹反病毒实验室致力于提供了全面、系统、一体化的网络安全防护，为客户提供强大技术支撑。