Polskie zespoły CERT Polska (CSIRT NASK) oraz CSIRT MON zidentyfikowały skoordynowaną kampanię cyberataków wymierzonych w polskie instytucje rządowe. Analizy techniczne oraz porównanie charakterystyk tej operacji do wcześniejszych ataków przeprowadzonych na podmioty ukraińskie, wskazują, iż kampanię można przypisać grupie APT28, znaną również jako Fancy Bear, która jest powiązana z Głównym Zarządem Wywiadowczym Sztabu Generalnego Sił Zbrojnych Federacji Rosyjskiej (GRU).
Fot. Obraz zaprojektowany przez Warszawa w Pigułce wygenerowany w DALL·E 3.
Sposób działania ataku
Atak rozpoczął się od rozsyłanych wiadomości e-mail, które miały na celu przyciągnięcie uwagi odbiorców i skłonić ich do kliknięcia w załączony link. Linki te kierowały do serwisu run.mocky.io, popularnego wśród programistów do testowania interfejsów API, a następnie przekierowywały do kolejnego serwisu – webhook.site. Wykorzystanie tych ogólnodostępnych narzędzi pozwala na minimalizację kosztów operacji oraz utrudnia wykrycie złośliwych działań przez standardowe narzędzia bezpieczeństwa.
Ostatecznym celem przekierowań był pobór archiwum ZIP o nazwie zaczynającej się od „IMG-” i kończącej losową liczbą, np. „IMG-238279780.zip”. Po kliknięciu w archiwum, ofierze prezentowany jest obraz mylący – zamiast rzekomych zdjęć, użytkownik uruchamia plik EXE ukryty pod fałszywą nazwą zdjęcia.
Szczegóły techniczne
Archiwum ZIP zawiera trzy pliki: zmodyfikowany plik wykonywalny Windows (ukryty jako zdjęcie), skrypt BAT oraz fałszywą bibliotekę DLL (WindowsCodecs.dll), która jest załadowana przy starcie „zdjęcia”. Zainfekowanie systemu odbywa się przez technikę znana jako DLL Side-Loading.
Otwarty przez ofiarę skrypt BAT uruchamia serię działań, które obejmują między innymi uruchomienie przeglądarki z kodem w formacie base64. Ta strona prowadzi do pobrania kolejnych skryptów, które wykonują szereg działań na komputerze ofiary, od przekształcenia plików po uruchomienie dodatkowych skryptów – wszystko to w tle, bez wiedzy użytkownika.
Atak ten podkreśla rosnącą złożoność i przebiegłość operacji cybernetycznych prowadzonych przez państwowe grupy APT. Wykorzystanie popularnych narzędzi internetowych w celu maskowania złośliwych działań staje się coraz bardziej powszechne. Zespoły odpowiedzialne za cyberbezpieczeństwo muszą nieustannie rozwijać swoje metody detekcji oraz reakcji na tego typu zagrożenia, szczególnie w kontekście ochrony krytycznej infrastruktury narodowej.