Российский IT-сектор атаковали китайские хакеры Из прогосударственной группировки

Как сообщает Forbes, в Group-IB собрали доказательства связи выявленной кибератаки с прогосударственной группировкой Tonto Team. В июне прошлого года система Group-IB Managed XDR, способная обнаруживать и останавливать сложные киберугрозы, выдала оповещение о блокировке вредоносных писем, которые пришли сотрудникам компании, а также ряду организаций из российского сектора IT и информационной безопасности.

Для вредоносной рассылки злоумышленники использовали фальшивую почту, зарегистрированную в популярном бесплатном почтовом сервисе GMX Mail (Global Message eXchange). Переписка велась от имени реального сотрудника одной из компаний, якобы отправившего «протокол встречи» с обсуждением безопасности облачной инфраструктуры.

Хакеры использовали фишинговые письма для доставки документов Microsoft Office, которые были созданы в компоновщике вредоносных RTF-эксплойтов Royal Road Weaponizer — он давно используется китайскими прогосударственными группировками. Эксперты также обнаружили бэкдор Bisonal.DoubleT разработки китайской прогосударственной группы Tonto Team.

Также слушайте наш подкаст с Дарьей Щербатюк из Group-IB: