Ważny komunikat CERT Polska. Ostrzeżenie o ataku

Wroga działalność została zidentyfikowana przez ekspertów z CERT Polska z NASK oraz CSIRT MON. Na podstawie podobieństw do wcześniejszych ataków, eksperci powiązali atak z grupą APT28, kojarzoną z Głównym Zarządem Wywiadowczym Sztabu Generalnego Sił Zbrojnych Federacji Rosyjskiej (GRU).

Dalsza część artykułu pod materiałem wideo

Do ataku wykorzystano wiadomości e-mail, które miały nakłonić odbiorcę do kliknięcia w link. Poniżej znajduje się przykład użytej wiadomości:

Link z wiadomości e-mail kierował do adresu w domenie run.mocky.io, a następnie przekierowywał do kolejnego serwisu - webhook.site. Obydwie domeny są popularne wśród programistów i osób związanych z IT. Taki mechanizm pozwala na zmniejszenie szans na odkrycie podstępu, a jednocześnie obniża koszt prowadzonej operacji.

Atakujący byli wyjątkowo sprytni. Z serwisu webhook.site pobierane było archiwum ZIP, którego nazwa mogła sugerować zawartość w postaci zdjęć. W rzeczywistości archiwum zawierało trzy pliki.

Uruchomienie pliku zaczynającego się od "IMG" uruchamiało serię skryptów, które miały rozpoznać adres IP urządzenia ofiary i listę plików - pozwalało to ocenić, czy wybrany cel jest atrakcyjny dla atakujących. W przypadku zainteresowania celem, atakujący mieli możliwość wykonywania na komputerze ofiary dowolnych działań.

Osoba atakowana nie zdawała sobie sprawy z zagrożenia, bo równocześnie w przeglądarce wyświetlane były zdjęcia kobiety w bieliźnie (na co sugerował wysyłany email).

CERT Polska zaleca, aby administratorzy sieci sprawdzili, czy pracownicy ich organizacji nie padli ofiarą wspomnianego ataku. W przypadku podejrzenia, że urządzenie zostało zainfekowane przez szkodliwe oprogramowanie, niezbędne jest natychmiastowe odłączenie go od sieci oraz szybki kontakt z odpowiednim zespołem CSIRT. Szczegóły ataku opisano w poradniku na stronie CERT.