18/01/22
Американские компании по кибербезопасности Cluster25 и Black Lotus Labs обнаружили атаки северокорейской хакерской группировки Konni на российское министерство иностранных дел. Об этом сообщает газета «Коммерсант».
Утверждается, что за атаками, предположительно, стоит северокорейская хакерская группировка Konni. По данным Black Lotus Labs, злоумышленники ещё в октябре начали фишинговую кампанию: одним дипломатам они разослали архивы с документами и предложили сообщить данные о статусе вакцинации, другим — ссылки на загрузку фальшивой программы для регистрации привитых в федеральном регистре вакцинированных. Якобы в результате этого была скомпрометирована учётная запись одного из сотрудников МИД РФ. Затем 20 декабря, пишет «Коммерсант», с этого аккаунта хакеры отправили фишинговое письмо замглавы министерства Сергею Рябкову. Ещё одно письмо с заражённым архивом ушло в посольство России в Индонезии.
«Письмо с зараженным трояном архивом «поздравление.zip» 20 декабря направлено и посольству РФ в Индонезии якобы от посольства в Сербии, отметили в Cluster25. В Black Lotus Labs уточнили, что определили двух получателей рассылки, но их наверняка больше», — сообщает газета.
Хакерская группа Konni (APT37) известна с 2017 года. В своих атаках она использовала, в частности, документы, касающиеся отношений РФ и КНДР, причём киберпреступники брали тексты из публичных источников.
