Китайские хакеры летом атаковали российские компании, в том числе из IT-сектора

Сотрудники нескольких российских компаний, в том числе из IT-сектора, получили вредоносные письма в июне 2022 года. Теперь же стало известно, что за атакой с использованием вредоносных писем стояли китайские хакеры из группировки Tonto Team, которая также известна под названиями HeartBeat, Karma Panda, CactusPete и др. Об этом пишет издание Forbes со ссылкой на данные компании Group-IB, работающей в сфере информационной безопасности.

По данным Group-IB, используемая компанией система Managed XDR выдала оповещение о блокировке вредоносных электронных сообщений 20 июня. На тот момент было установлено получение таких писем двумя сотрудниками компаний, но в получателях также значились десятки представителей ведущих IT- и ИБ-компаний. При этом о каких именно компаниях идёт речь, сказано не было. В сообщении говорится, что целью хакеров стали сотрудники «телеком-операторов, разработчиков программного обеспечения, вендоры, один известный поисковик».

Для рассылки вредоносных писем злоумышленники использовали фальшивую почту, которую зарегистрировали в бесплатном сервисе Global Message eXchange. Специалисты Group-IB провели собственное расследование этого инцидента, в ходе которого сумели получить доказательства причастности к атаке хакеров из Tonto Team.

В компании пояснили, что хакеры использовали фишинговые письма для рассылки документов Microsoft Office, созданных с помощью компоновщика вредоносных RTF-эксплойтов Royal Road Weaponizer. Отмечается, что этот инструмент уже давно используют китайские прогосударственные хакеры. Помимо этого, специалисты обнаружили бэкдор Bisonal.DoubleT, созданный членами группировки Tonto Team.