8 августа – ИА SM.News. По сообщению РИА «Новости», вероятно, целью злоумышленников является кибершпионаж.
Эксперты высказали предположения, что выявленные атаки, скорее всего, имеют связь с китайскоязычной кибергруппой TA428.
Для проникновения члены кибергруппировки применяли фишинговые письма, которые содержали документы Word, включающие вредоносный код. Письма, получаемые работниками, содержали внутренние данные о них, имена и внутренние кодовые названия проектов.
Основным инструментом развития атаки киберпреступников была утилита Ladon, имеющая возможность сканировать Сеть, искать и эксплуатировать уязвимости, красть пароли. На финишном этапе они захватывали контроллер домена. Затем получали полный контроль над интересующими их рабочими станциями и серверами организации.