Polskie zespoły cyberbezpieczeństwa CERT Polska (CSIRT NASK) oraz CSIRT MON zaobserwowały w ostatnim czasie szeroko zakrojoną kampanię złośliwego oprogramowania, wymierzoną w krajowe instytucje rządowe. Na podstawie analizy technicznej i podobieństw do wcześniejszych ataków, eksperci podejrzewają, iż za kampanią może stać rosyjski wywiad wojskowy GRU.
Fot. Obraz zaprojektowany przez Warszawa w Pigułce wygenerowany w DALL·E 3.
Sprytna przynęta – fałszywe e-maile kuszą ofiary
Atak rozpoczyna się od rozesłania wiadomości e-mail, których treść ma wzbudzić zainteresowanie odbiorcy i nakłonić go do kliknięcia w załączony link. Po jego otwarciu, ofiara przekierowywana jest przez szereg darmowych serwisów, takich jak run.mocky.io czy webhook.site, które są powszechnie używane przez programistów do testowania interfejsów API. Atakujący wykorzystują te platformy, aby ukryć złośliwe oprogramowanie i utrudnić jego wykrycie przez systemy bezpieczeństwa.
Podstępne archiwa i fałszywe zdjęcia
Finalnie, ofiara pobiera archiwum ZIP, które rzekomo zawiera zdjęcia. W rzeczywistości, paczka skrywa trzy pliki – kalkulator windowsowy udający grafikę, ukryty skrypt .bat oraz podstawioną bibliotekę DLL. Po uruchomieniu rzekomego zdjęcia, w tle wykonywane są złośliwe skrypty, które pobierają kolejne komponenty malware’u, wykorzystując do tego przeglądarkę Microsoft Edge.
Główna pętla programu – kradzież danych i możliwość eskalacji ataku
Ostatecznie, na zainfekowanym komputerze uruchamia się główna pętla programu, która cyklicznie pobiera i wykonuje nowe skrypty. Te z kolei zbierają wrażliwe informacje o maszynie ofiary, takie jak adres IP czy lista plików w określonych folderach, a następnie przesyłają je do serwera kontrolowanego przez atakujących. Eksperci podejrzewają, iż w przypadku komputerów wybranych przez GRU, ofiary mogą otrzymać jeszcze bardziej zaawansowane złośliwe oprogramowanie.
APT28 – grupa stojąca za atakiem?
Analiza techniczna kampanii wykazała wiele podobieństw do wcześniejszych ataków, m.in. na ukraińskie instytucje, które przypisywane są grupie APT28. Jest to zbiór aktywności kojarzony z rosyjskim Głównym Zarządem Wywiadowczym Sztabu Generalnego Sił Zbrojnych Federacji Rosyjskiej, czyli GRU. Wykorzystane metody i narzędzia są niemal identyczne jak w przypadku znanego złośliwego systemu HEADLACE, powiązanego właśnie z APT28.
Rekomendacje ekspertów – jak wykryć i zablokować atak?
Zespoły CERT Polska i CSIRT MON rekomendują administratorom sieci, aby zweryfikowali, czy pracownicy ich organizacji nie stali się ofiarami ataku. Zalecane jest sprawdzenie logów pod kątem połączeń do domen webhook.site oraz run.mocky.io, a także obecności linków do tych serwisów w otrzymanych e-mailach.
Jeśli organizacja nie korzysta z wymienionych usług, eksperci radzą rozważenie blokady tych domen na urządzeniach brzegowych sieci. Sugerują również filtrowanie wiadomości e-mail zawierających odnośniki do webhook.site i run.mocky.io, ponieważ ich poprawne użycie w treści maila jest bardzo rzadkie.
W przypadku podejrzenia infekcji, zainfekowane urządzenie należy natychmiast odłączyć od sieci, zarówno przewodowej, jak i bezprzewodowej, a następnie skontaktować się z adekwatnym zespołem reagowania na incydenty bezpieczeństwa komputerowego (CSIRT).
Ten atak pokazuje, iż rosyjski wywiad nie próżnuje i aktywnie próbuje infiltrować polskie instytucje rządowe. Tylko czujność, odpowiednie procedury bezpieczeństwa i szybka reakcja mogą powstrzymać tego typu zagrożenia. Miejmy nadzieję, iż dzięki pracy naszych ekspertów z CERT Polska i CSIRT MON, skutki tej kampanii uda się zminimalizować.
![[FILMY, ZDJĘCIA] Bitwa Wyrska – Bój o Gostyń 2024. Jak dzielnie bili się polscy żołnierze z niemieckim najeźdźcą](https://images3.polskie.ai/images/2217/16180064/5c43a98a2b4fecda44090c43d7ac9d8b.jpg)
