Grupa APT28, która powiązana jest z Głównym Zarządem Wywiadowczym Sztabu Generalnego Sił Zbrojnych Federacji Rosyjskiej (GRU) prowadzi szeroko zakrojoną kampanię szkodliwego oprogramowania wymierzoną w polskie instytucje rządowe. Wrogą działalność odnotowały i opisały CERT Polska z NASK oraz CSIRT MON.
Jak działa grupa APT28?
Pierwszy element kampanii prowadzonej przez APT28 to wysyłka wiadomości e-mail. Jej treść wykorzystuje elementy socjotechniki, które mają wywołać zainteresowanie u odbiorcy i nakłonić go do kliknięcia link.
Link kieruje do adresu w domenie run.mocky.io – to darmowy serwis używany przez programistów. W tym przypadku został on jednak wykorzystany tylko do przekierowania na kolejny serwis – webhook.site. Z serwisu webhook.site zostaje ostatecznie pobrane archiwum ZIP, którego nazwa sugeruje zawartość w postaci zdjęć, bo zaczyna się od skrótu „IMG”.
Przeczytaj także: Dzień otwarty w BOA >>
Tak naprawdę archiwum zawiera trzy pliki. Gdy ofiara uruchomi plik, wykonywana jest seria skryptów, które mają na celu poznanie adresu IP urządzenia ofiary i listy plików – co pozwala ocenić, czy wybrany cel jest dla atakujących atrakcyjny. Jeśli okaże się interesujący, mają oni możliwość wykonania na komputerze ofiary dodatkowych, dowolnych działań.
Źródło: NASK