Сотрудники нескольких российских компаний, в том числе из IT-сектора, получили вредоносные письма в июне 2022 года. Теперь же стало известно, что за атакой с использованием вредоносных писем стояли китайские хакеры из группировки Tonto Team, которая также известна под названиями HeartBeat, Karma Panda, CactusPete и др. Об этом пишет издание Forbes со ссылкой на данные компании Group-IB, работающей в сфере информационной безопасности.
По данным Group-IB, используемая компанией система Managed XDR выдала оповещение о блокировке вредоносных электронных сообщений 20 июня. На тот момент было установлено получение таких писем двумя сотрудниками компаний, но в получателях также значились десятки представителей ведущих IT- и ИБ-компаний. При этом о каких именно компаниях идёт речь, сказано не было. В сообщении говорится, что целью хакеров стали сотрудники «телеком-операторов, разработчиков программного обеспечения, вендоры, один известный поисковик».
Для рассылки вредоносных писем злоумышленники использовали фальшивую почту, которую зарегистрировали в бесплатном сервисе Global Message eXchange. Специалисты Group-IB провели собственное расследование этого инцидента, в ходе которого сумели получить доказательства причастности к атаке хакеров из Tonto Team.
В компании пояснили, что хакеры использовали фишинговые письма для рассылки документов Microsoft Office, созданных с помощью компоновщика вредоносных RTF-эксплойтов Royal Road Weaponizer. Отмечается, что этот инструмент уже давно используют китайские прогосударственные хакеры. Помимо этого, специалисты обнаружили бэкдор Bisonal.DoubleT, созданный членами группировки Tonto Team.
Больше интересных новостей на сайте 3DNews:
• Партию мультитулов для хакеров Flipper Zero на $200 тыс. задержала таможня Германии и уничтожит её
• Учёные создали транзисторы из воды — они откроют путь к процессорам с частотой больше 1 ТГц
• «Выглядит очень впечатляюще»: энтузиасты добавили трассировку лучей в Half-Life 2 и Max Payne с помощью файлов Portal with RTX