Białoruska grupa atakuje polskie podmioty. Wykryto nową kampanię
CERT Polska wykrył nową kampanię wymierzoną w polskie podmioty. Charakterystyka działania hakerów pozwoliła ich połączyć z grupą UNC1151, która jest związana z białoruskim rządem oraz najprawdopodobniej również z rosyjskimi służbami specjalnymi.
CERT Polska wykrył kampanię w tym tygodniu. W analizie wskazano, że grupa APT rozsyła wiadomości e-mail, stosując chwytliwe tytuły, co ma wzbudzić natychmiastowe zainteresowanie odbiorcy i zachęcić go do kliknięcia w nią.
Atak wykorzystuje podatność aplikacji Roundcube „pozwalającą na wykonanie dowolnego kodu JavaScript w kontekście użytkownika odczytującego spreparowaną przez atakujących wiadomość e-mail” - informuje CERT Polska
Czytaj też
Maile są zainfekowane złośliwym kodem, który skła się z dwóch części. Pierwsza uruchamia się po otwarciu wiadomości i wykorzystuje podatność, by zainstalować Service Worker w przeglądarce użytkownika. Dzięki niemu atakujący może śledzić działania wykonywane przez ofiarę.
Drugi element kodu wykorzystuje Service Worker, który działa w tle i przechwytuje dane do logowania do poczty, a następnie wysyła je do atakującego.
Podatność CVE-2024-42009 została wykryta w zeszłym roku, dlatego atakujący mogli założyć, że użytkownicy nie aktualizują oprogramowania i atak zostanie zrealizowany.
Czytaj też
Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na:[email protected].
SK@NER: Jak przestępcy czyszczą nasze konta?