Logotyp serwisu CyberDefence24
Reklama

Armia i Służby

Walka z phishingiem. Polska i Ukraina połączyły siły

CyberDefence24

cyberatak
Autor. Mikhail Nilov/Pexels

Zespół reagowania na incydenty komputerowe Ukrainy (CERT-UA) we współpracy z CERT Polska oraz CSIRT MON wykrył kilka stron phishingowych, które podszywały się pod SBU oraz polską policję. Za kampanią ma stać grupa UAC-0114, zwana też Winter Vivern, a trop wskazuje na rosyjskie ślady złośliwej działalności.

Reklama

Jak podaje CERT-UA w oficjalnym komunikacie, wykryto stronę internetową naśladującą stronę Ministerstwa Spraw Zagranicznych Ukrainy. Za jej pośrednictwem nakłaniano do pobrania oprogramowania do „skanowania zainfekowanych komputerów w poszukiwaniu wirusów”.

Reklama

W operacji uczestniczył zespół CERT Polska umiejscowiony w strukturach NASK, a także eksperci CSIRT MON. Wspólnie wykryto kilka kolejnych stron phishingowych, które miały imitować witryny rzekomo należące do Służby Bezpieczeństwa Ukrainy i polskiej policji.

„Podobna fałszywa strona internetowa została namierzona, kiedy podszywała się pod serwis pocztowy Ministerstwa Obrony Ukrainy w czerwcu 2022 roku” – czytamy w komunikacie strony ukraińskiej.

Reklama
Adresy fałszywych stron internetowych, podszywających się m.in. pod polską policję
Adresy fałszywych stron internetowych, podszywających się m.in. pod polską policję
Autor. CERT UA

Na czym polega złośliwa kampania?

O kampanię podejrzana jest grupa UAC-0114, zwana też Winter Vivern, której działanie ma polegać na wykrozystaniu TTP – „oprogramowania skanującego” i znanych skryptów PowerShell. Jak oceniono, „wysoce prawdopodobne, że rosyjskojęzyczni aktorzy są wśród członków grupy”, o czym ma świadczyć fakt, że jedna z próbek zawiera rosyjskie sformułowanie „Aperitivchick” ("C:\Users\user_1\source\repos\Aperitivchick\Release\SystemProtector.pdb").

Jeśli użytkownik kliknie w link, plik BAT "Protector.bat" zostanie dostarczony na komputer ofiary. Wykorzystując PowerShell.exe BAT, pobierałby i wykonywał kilka skryptów PowerShell, z których jeden skanowałby komputer w poszukiwaniu plików o rozszerzeniach: .edb, .ems, .eme, .emz, .key, .pem, .ovpn, .bat, .cer, .p12, .cfg, .log, .txt, .pdf, .doc, .docx, .xls, .xlsx, .rdg, aft, inny robił zrzuty ekranu i eksfiltrował dane za pomocą protokołu HTTP.

Podszywanie się pod CBZC

O akcji oszustów, którzy podszywają się pod polską policję, a dokładnie pod Centralne Biuro Zwalczania Cyberprzestępczości, pisaliśmy kilka dni temu, ostrzegając przed tą kampanią.

Czytaj też

/NB

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].

Reklama

Komentarze

    Reklama

    Czytaj także

    Victoria Shi - cyfrowa osoba wygenerowana przez AI ma komentować sprawy Ministerstwa Spraw Zagranicznych Ukrainy
    Ukraina idzie o krok dalej. Cyfrowa persona AI jako „rzeczniczka” MSZ
    Fudo Security
    Bezpieczna firma. Na co zwrócić uwagę?
    Trwa kontrola wewnętrzna w NASK PIB
    Walka z dezinformacją w NASK. Ciągle trwa audyt
    Komisja Europejska wytoczyła postępowanie Mecie
    Komisja Europejska kontra Meta. „Reagujemy”
    Wielka fala banów w Sklepie Play. Google walczy z oszustami
    OpenAI podpisało umowę z Financial Times
    Sztuczna inteligencja uzyska dostęp do nowych tekstów. Za zgodą
    Atak DDoS na Jedną Rosję. Skuteczna akcja Ukraińców
    Kongres INSECON odbył się w dniach 15-16 kwietnia 2024 r. w Poznaniu i poruszył najważniejsze tematy z zakresu cyberbezpieczeństwa.
    Think global, act local. Kongres INSECON odpowiedzią na współczesne wyzwania cyberbezpieczeństwa