Разкрита е масивна кампания със зловреден софтуер срещу полските правителствените институции

Тази седмица полските правителствени институции се оказаха мишена на сложна кампания за зловреден софтуер. Кибератаките се приписват на групата APT28, свързана с Главното управление на Генералния щаб на Въоръжените сили на Руската Федерация (ГРУ). Това заключение е направено въз основа на технически индикатори и сходство на атаките с предишни кампании срещу украински организации.

Кампанията използва фишинг имейли, създадени да привлекат вниманието на получателите. Тези имейли насърчават получателя да кликне върху линк, който води към поредица от злонамерени сайтове и изтегляния на зловреден софтуер. Един пример за такъв имейл включва необичайна история за мистериозна украинка във Варшава, която уж управлява компания продаваща използвано дамско бельо и връзки с високопоставени служители в Полша и Украйна. Предоставеният линк пренасочва потребителя към злонамерени сайтове, предназначени за изпълнение на по-нататъшни стъпки в атаката.

Технически анализ на атаката

1. Първоначален контакт: Фишинг имейл с линк, който първоначално пренасочва към `run.mocky.io`, законна услуга, често използвана от разработчици за тестване на API-та. Това е стратегически избор за избягване на незабавно откриване на злонамерени намерения.
2. Пренасочване и събиране на данни: Линкът допълнително пренасочва към `webhook.site`, друг законен инструмент, използван за улавяне на HTTP заявки. Тук жертвите неволно регистрират своите данни, които нападателите могат да използват в по-късни етапи на атаката.
3. Злонамерено изтегляне: На жертвите се предлага да изтеглят архив ZIP, който очевидно съдържа фотографии. Архивът е умело наименуван (напр. `IMG-238279780.zip`) за маскиране на истинското му съдържание.
4. Изпълнение на зловредния софтуер: След отваряне на файла ZIP, жертвите се сблъскват с изпълними файлове, маскирани като изображения (напр., `IMG-238279780.jpg.exe`), заедно със скрити скриптове и фалшиви библиотеки (напр.,`WindowsCodecs.dll`). Когато изпълнимият файл се стартира, той се опитва да зареди заменената DLL, която от своя страна изпълнява BAT скрипт.
5. Допълнителни действия: BAT скриптът изпълнява множество функции:
   – Отваря base64 енкодната HTML страница в браузъра, показвайки снимки и връзки към истински социални медии, за да придаде достоверност на наратива.
   – Тайно променя разширенията на изтеглените файлове от .jpg на .cmd и изпълнява допълнителни скриптове, които събират данни от компютъра на жертвата

Какво цели атаката

Атаката има за цел предимно събиране на чувствителна информация, която може да бъде използвана за шпионаж или за по-нататъшни целенасочени атаки. Сложността и умелото прикриване на атаката подчертават изтънчеността на APT28.

CERT Polska е издала препоръки за мрежови администратори да наблюдават внимателно за връзки към `run.mocky.io` и `webhook.site`, тъй като трафикът към тези домейни в правителствена среда е необичаен и потенциално опасен. Организациите се съветват да блокират тези домейни на мрежово ниво и да филтрират имейли, съдържащи връзки към тези услуги. При подозрение за нарушение е критично да се изключат засегнатите системи от мрежата незабавно и да се свърже с подходящите органи отговарящи за киберсигурността.

Този инцидент подчертава продължаващите заплахи, с които се сблъскват правителствените институции по света, особено от подкрепяни на правителствено ниво групи. Той подчертава необходимостта от постоянно бдение и бързи действия при потенциални кибератаки.