Zespół reagowania na incydenty komputerowe Ukrainy (CERT-UA) we współpracy z CERT Polska oraz CSIRT MON wykrył kilka stron phishingowych, które podszywały się pod SBU oraz polską policję. Za kampanią ma stać grupa UAC-0114, zwana też Winter Vivern, a trop wskazuje na rosyjskie ślady złośliwej działalności.
Jak podaje CERT-UA w oficjalnym komunikacie, wykryto stronę internetową naśladującą stronę Ministerstwa Spraw Zagranicznych Ukrainy. Za jej pośrednictwem nakłaniano do pobrania oprogramowania do „skanowania zainfekowanych komputerów w poszukiwaniu wirusów”.
W operacji uczestniczył zespół CERT Polska umiejscowiony w strukturach NASK, a także eksperci CSIRT MON. Wspólnie wykryto kilka kolejnych stron phishingowych, które miały imitować witryny rzekomo należące do Służby Bezpieczeństwa Ukrainy i polskiej policji.
„Podobna fałszywa strona internetowa została namierzona, kiedy podszywała się pod serwis pocztowy Ministerstwa Obrony Ukrainy w czerwcu 2022 roku” – czytamy w komunikacie strony ukraińskiej.
Na czym polega złośliwa kampania?
O kampanię podejrzana jest grupa UAC-0114, zwana też Winter Vivern, której działanie ma polegać na wykrozystaniu TTP – „oprogramowania skanującego” i znanych skryptów PowerShell. Jak oceniono, „wysoce prawdopodobne, że rosyjskojęzyczni aktorzy są wśród członków grupy”, o czym ma świadczyć fakt, że jedna z próbek zawiera rosyjskie sformułowanie „Aperitivchick” ("C:\Users\user_1\source\repos\Aperitivchick\Release\SystemProtector.pdb").
Jeśli użytkownik kliknie w link, plik BAT "Protector.bat" zostanie dostarczony na komputer ofiary. Wykorzystując PowerShell.exe BAT, pobierałby i wykonywał kilka skryptów PowerShell, z których jeden skanowałby komputer w poszukiwaniu plików o rozszerzeniach: .edb, .ems, .eme, .emz, .key, .pem, .ovpn, .bat, .cer, .p12, .cfg, .log, .txt, .pdf, .doc, .docx, .xls, .xlsx, .rdg, aft, inny robił zrzuty ekranu i eksfiltrował dane za pomocą protokołu HTTP.
Podszywanie się pod CBZC
O akcji oszustów, którzy podszywają się pod polską policję, a dokładnie pod Centralne Biuro Zwalczania Cyberprzestępczości, pisaliśmy kilka dni temu, ostrzegając przed tą kampanią.
Czytaj też
/NB
Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].