Китайские хакеры из Tonto Team атаковали Group-IB и другие российские компании – Люди PRO Media

Китайские хакеры из Tonto Team атаковали Group-IB и другие российские компании

Злоумышленники отправляли фишинговые письма под видом переписки с коллегами. Целью такой кампании была компрометация инфраструктуры, шпионаж и кража интеллектуальной собственности.

Китайские хакеры из прогосударственной группировки Tonto Team атаковали ведущие российские IT-компании. Среди них была и Group-IB. Несколько сотрудников компании получили вредоносные письма, которые были заблокированы системой Group-IB Managed XDR.

Злоумышленники использовали фальшивую почту, зарегистрированную в популярном бесплатном почтовом сервисе GMX Mail. При этом переписка велась от имени реального сотрудника ИБ-компании, якобы отправившего «протокол встречи» с обсуждением безопасности облачной инфраструктуры.

При изучении кампании исследователи установили, что отправленные в письмах документы Microsoft Office были созданы в компоновщике вредоносных RTF-эксплойтов Royal Road Weaponizer – инструменте, который давно используется китайскими хак-группами. Кроме того, в документах были метаданные, которые указывали, что операционная система создателя документа использовала упрощенный китайский язык. Также в атаке был обнаружен бэкдор Bisonal.DoubleT, который является уникальной разработкой китайской группировки Tonto Team и используется как минимум с 2019 года.

Группировка Tonto Team действует с 2009 года и нацелена на правительственные, военные, финансовые, образовательные учреждения, а также энергетические, медицинские и технологические компании. Изначально хакеры действовали по Южной Корее, Японии, Тайваню и США, но к 2020 году среди их целей оказались страны Восточной Европы.

Специалисты считают, что компрометация китайскими хакерами инфраструктуры IT-компаний открывает широкие возможности для атакующих продвинуться дальше по сети и получить доступ к огромному пулу клиентов и партнеров жертвы. В заключении эксперты добавили, что основная цель китайских злоумышленников заключается в шпионаже и краже интеллектуальной собственности.

Источник: Group-IB

Свежий выпуск «Люди PRO»

Свежий выпуск «Мультичела»

Читайте также