GRU prowadzi kampanię przeciwko polskim instytucjom rządowym

security-ops.pl 6 miesięcy temu

Grupa APT28, która powiązana jest z Głównym Zarządem Wywiadowczym Sztabu Generalnego Sił Zbrojnych Federacji Rosyjskiej (GRU) prowadzi szeroko zakrojoną kampanię szkodliwego systemu wymierzoną w polskie instytucje rządowe. Wrogą działalność odnotowały i opisały CERT Polska z NASK oraz CSIRT MON.

Jak działa grupa APT28?

Pierwszy element kampanii prowadzonej przez APT28 to wysyłka wiadomości e-mail. Jej treść wykorzystuje elementy socjotechniki, które mają wywołać zainteresowanie u odbiorcy i nakłonić go do kliknięcia link.

Link kieruje do adresu w domenie run.mocky.io – to darmowy serwis używany przez programistów. W tym przypadku został on jednak wykorzystany tylko do przekierowania na kolejny serwis – webhook.site. Z serwisu webhook.site zostaje ostatecznie pobrane archiwum ZIP, którego nazwa sugeruje zawartość w postaci zdjęć, bo zaczyna się od skrótu „IMG”.

Przeczytaj także: Dzień otwarty w BOA >>

Tak naprawdę archiwum zawiera trzy pliki. Gdy ofiara uruchomi plik, wykonywana jest seria skryptów, które mają na celu poznanie adresu IP urządzenia ofiary i listy plików – co pozwala ocenić, czy wybrany cel jest dla atakujących atrakcyjny. jeżeli okaże się interesujący, mają oni możliwość wykonania na komputerze ofiary dodatkowych, dowolnych działań.

Źródło: NASK

Idź do oryginalnego materiału