Хакерская группа APT10 (она же Menupass, Red Apollo, Stone Panda, CVNX) регулярно попадает на радары аналитиков с 2009 года. Группировка ориентирована в первую очередь на строительные, инженерные, аэрокосмические и телекоммуникационные компании, а также правительственные организации в США, Европе и Японии.
Согласно свежему отчету специалистов Rapid7 и Recorded Future, APT10 продолжает действовать и сегодня, а исследователям удалось обнаружить несколько новых компаний, пострадавших от рук хакеров за последние годы.
Сообщается, что группировка взломала компанию Visma, одного из крупнейших в Европе поставщиков облачных технологий. Компрометация произошла еще в августе 2018 года: тогда злоумышленники проникли в сеть компании, похитив учетные данные Citrix одного из сотрудников. После проникновения в сеть, атакующие прибегли к помощи двух вредоносов: трояна удаленного доступа Trochilus и бэкдора Uppercut (Anel), призванных найти, собрать и извлечь интересующие преступников данные из сети Visma.
После публикации отчета экспертов, норвежская компания выпустила собственный пресс-релиз, где подтвердила факт взлома. Представители Visma заверили, что злоумышленникам удалось похитить только внутренние данные компании, а клиентской информации взлом не коснулся. По информации Recorded Future и Rapid7, компрометация была обнаружена на ранней стадии, самими сотрудниками Visma, так что хакеры попросту не успели развить атаку далее.
Но в отчете ИБ-специалистов сказано, что Visma была не единственной компанией, пострадавшей от рук APT10 в последние годы. Изучая взлом норвежской компании, эксперты выяснили, что в конце 2017 года хак-группа атаковала некую юридическую фирму в США, оказывавшую помощь в выходе на американский рынок китайским компаниям, а в начале 2018 года атаке также подвергся неназванный производитель одежды.