По данным Black Lotus Labs, в октябре началась фишинговая кампания, нацеленная на сотрудников МИДа: им были разосланы архивы с документами, в которых предлагалось предоставить информацию о статусе вакцинации, или ссылки на загрузку поддельной «Программы для регистрации привитых в федеральном регистре вакцинированных». В результате оказалась скомпрометирована учетная запись одного из сотрудников МИДа, с которой 20 декабря хакеры отправили фишинговое письмо замминистра, курирующему нераспространение и контроль над вооружениями, Сергею Рябкову, написано в исследовании. Этот адрес принадлежит секретариату замминистра, указано на сайте министерства.
Это продолжение кампании, которая началась в августе: тогда хакеры рассылали зараженные вирусом документы на русском языке по корейской тематике, а в ноябре — письма от имени российских экспертов, которые занимаются вопросами взаимодействия с КНДР
Исследователи могли получить примеры писем с сервиса VirusTotal (VT), который анализирует подозрительные файлы,— туда было загружено письмо хакеров в день атаки 20 декабря, говорит руководитель группы исследования угроз Group-IB Анастасия Тихонова. В результате, пояснила она, индикаторы компрометации стали доступны вендорам по безопасности, что позволило защитить от угрозы другие организации.
У МИДа много документов, интересных любой разведке, полагает глава азиатской программы Московского центра Карнеги Александр Габуев.
Атаки группы Konni (APT37) известны с 2017 года, и группа уже использовала документы, связанные с отношениями России и КНДР, причем тексты брала из публичных источников, отметил руководитель отдела исследования угроз Positive Technologies Денис Кувшинов.