Китайские хакеры из прогосударственной группировки Tonto Team атаковали ведущие российские IT-компании. Среди них была и Group-IB. Несколько сотрудников компании получили вредоносные письма, которые были заблокированы системой Group-IB Managed XDR.
Злоумышленники использовали фальшивую почту, зарегистрированную в популярном бесплатном почтовом сервисе GMX Mail. При этом переписка велась от имени реального сотрудника ИБ-компании, якобы отправившего «протокол встречи» с обсуждением безопасности облачной инфраструктуры.
При изучении кампании исследователи установили, что отправленные в письмах документы Microsoft Office были созданы в компоновщике вредоносных RTF-эксплойтов Royal Road Weaponizer – инструменте, который давно используется китайскими хак-группами. Кроме того, в документах были метаданные, которые указывали, что операционная система создателя документа использовала упрощенный китайский язык. Также в атаке был обнаружен бэкдор Bisonal.DoubleT, который является уникальной разработкой китайской группировки Tonto Team и используется как минимум с 2019 года.
Группировка Tonto Team действует с 2009 года и нацелена на правительственные, военные, финансовые, образовательные учреждения, а также энергетические, медицинские и технологические компании. Изначально хакеры действовали по Южной Корее, Японии, Тайваню и США, но к 2020 году среди их целей оказались страны Восточной Европы.
Специалисты считают, что компрометация китайскими хакерами инфраструктуры IT-компаний открывает широкие возможности для атакующих продвинуться дальше по сети и получить доступ к огромному пулу клиентов и партнеров жертвы. В заключении эксперты добавили, что основная цель китайских злоумышленников заключается в шпионаже и краже интеллектуальной собственности.
Источник: Group-IB
