Białoruscy hakerzy uderzają w Polskę. Nowe ataki grupy UNC1151

• Grupa rozwija kampanie phishingowe, malware oraz techniki utrudniające wykrywanie i analizę prowadzonych operacji.
• W najnowszych działaniach wykorzystywano geofencing, walidację ofiary po stronie serwera oraz wieloetapowe łańcuchy infekcji.
• Celem ataków są nie tylko instytucje publiczne, ale także przemysł, logistyka, ochrona zdrowia i użytkownicy polskich usług pocztowych.

UNC1151 (FrostyNeighbor) to grupa APT łączona z Białorusią, która od lat pozostaje jednym z najbardziej aktywnych aktorów prowadzących działania przeciwko Polsce. 

Grupa była wielokrotnie wskazywana jako wykonawca różnych operacji w cyberprzestrzeni, w tym działań związanych z kampanią Ghostwriter. 

W ubiegłym roku opisywaliśmy jej działania wymierzone w polskie podmioty. Warto także przypomnieć, że to właśnie UNC1151 ABW i SKW przypisywały atak na skrzynkę Michała Dworczyka. 

Najnowsze ustalenia opisane w „Krajobrazie Zagrożeń” CERT Orange pokazują, że grupa nie tylko utrzymuje wysoką aktywność, ale także systematycznie modyfikuje swój warsztat. Szczególnie istotne jest to, że obok Ukrainy to właśnie Polska pozostaje jednym z najważniejszych kierunków jej działań.

Precyzyjna selekcja ofiar

Jednym z najważniejszych elementów najnowszej kampanii przeanalizowanej przez CERT Orange jest odejście od prostych, masowych ataków na rzecz bardziej selektywnego podejścia. Operatorzy UNC1151 stosują zaawansowany geofencing, czyli filtrowanie ofiar na podstawie lokalizacji, adresu IP, parametrów przeglądarki i innych cech ruchu sieciowego.

Schemat działania wygląda następująco: ofiara otrzymuje wiadomość phishingową ze złośliwym plikiem PDF, często podszywającym się pod oficjalną komunikację operatora telekomunikacyjnego lub instytucji publicznej. Po kliknięciu w link infrastruktura atakujących analizuje, czy użytkownik pasuje do profilu interesującego celu.

Jeśli nie spełnia kryteriów, otrzymuje nieszkodliwy dokument-wabik. Dopiero po pozytywnej walidacji uruchamiany jest kolejny etap infekcji, zwykle złośliwy skrypt JavaScript pobierający archiwum RAR z dalszymi komponentami malware.

Trudniejsza analiza i ukrywanie kampanii

Takie podejście znacząco utrudnia pracę zespołom bezpieczeństwa. Automatyczne systemy analizy, sandboxy oraz badacze próbujący pozyskać próbki mogą otrzymać jedynie neutralny dokument, bez właściwego złośliwego kodu.

To pokazuje, że FrostyNeighbor bardzo świadomie ogranicza widoczność swoich kampanii i dostosowuje techniki do współczesnych systemów ochrony. Celem jest nie tylko infekcja wybranych ofiar, ale także utrudnienie wykrycia całej infrastruktury operacyjnej.

PicassoLoader i Cobalt Strike

Ważnym elementem działań UNC1151 pozostaje wykorzystywanie i rozwijanie wariantów PicassoLoadera, czyli narzędzia wykorzystywanego do dostarczania beaconów Cobalt Strike. Według ESET, grupa utrzymuje wiele wariantów tego loadera, napisanych m.in. w JavaScript, PowerShell, .NET oraz C++.

Cobalt Strike to narzędzie pierwotnie przeznaczone do testów bezpieczeństwa, ale bardzo często wykorzystywane przez grupy APT i cyberprzestępców do utrzymywania dostępu do przejętych systemów.

Beacony są centralnym elementem Cobalt Strike. Działają jako komponent utrzymujący komunikację z operatorem i pozwalają utrzymać dostęp do zaatakowanej sieci. Umożliwiają zdalne kontrolowanie przejętych systemów, wykonywanie poleceń oraz przesyłanie informacji z powrotem do atakującego.

Warto podkreślić także, że payloady ukrywane są w plikach kojarzonych z architekturą stron WWW, takich jak SVG, CSS czy JavaScript, co utrudnia detekcję opartą wyłącznie na analizie rozszerzeń plików lub reputacji treści.

Ręczna ocena wartości celu

W najnowszej kampanii końcowe dostarczenie beaconów Cobalt Strike nie zawsze odbywa się automatycznie. Po wstępnym profilowaniu systemu ofiary operatorzy mogą ręcznie oceniać, czy dany cel jest wystarczająco wartościowy, aby przejść do kolejnej fazy kompromitacji.

To istotny wskaźnik dojrzałości operacyjnej grupy. UNC1151 nie działa wyłącznie masowo, ale potrafi prowadzić kampanie selektywne, ukierunkowane na konkretne organizacje, użytkowników i sektory.

Poczta elektroniczna jako główny wektor ataku

Z perspektywy Polski szczególnie istotne pozostaje regularne wykorzystywanie kampanii phishingowych wymierzonych w użytkowników krajowych usług pocztowych.

W połączeniu z informacjami CERT Polska o wykorzystywaniu podatności XSS w Roundcube pokazuje to spójny kierunek działań grupy. Kompromitacja poczty elektronicznej pozostaje jednym z podstawowych wektorów operacyjnych UNC1151.

Grupa rozwija równolegle klasyczne działania malware, kradzież poświadczeń oraz przejmowanie kont pocztowych. To szczególnie niebezpieczne, ponieważ dostęp do skrzynki e-mail często umożliwia dalszą infiltrację organizacji, przejmowanie komunikacji i prowadzenie kolejnych ataków.

Legalne usługi jako osłona

UNC1151 wykazuje także dużą elastyczność infrastrukturalną. W poprzednich kampaniach grupa wykorzystywała legalne usługi i platformy, takie jak Slack czy Canarytokens, do dystrybucji payloadów, śledzenia aktywności ofiar albo monitorowania działań badaczy bezpieczeństwa.

Takie podejście ogranicza skuteczność klasycznych metod detekcji opartych na reputacji domen czy prostych listach wskaźników kompromitacji. Ruch do legalnych usług może wyglądać mniej podejrzanie, a zablokowanie takich platform bywa trudniejsze operacyjnie.

Połączenie cyberataków i operacji wpływu

UNC1151 wyróżnia się na tle wielu innych grup APT połączeniem działań technicznych z operacjami wpływu informacyjnego. W praktyce oznacza to, że włamania, kradzież danych, przejmowanie poczty i dezinformacja mogą być elementami jednego szerszego procesu.

Taki model działania zwiększa ryzyko dla państw takich jak Polska. Przejęte skrzynki e-mail lub wykradzione dokumenty mogą zostać wykorzystane nie tylko do dalszych cyberataków, ale także do publikacji zmanipulowanych materiałów, wywierania presji politycznej lub destabilizacji debaty publicznej.

Grupa UNC1151 jest aktywna w Polsce od dawna

Aktywność UNC1151 wobec Polski nie jest nowym zjawiskiem. Już w 2021 r. ABW i SKW informowały, że na liście celów ataku socjotechnicznego przypisywanego tej grupie znajdowało się co najmniej 4350 adresów e-mail należących do polskich obywateli lub działających w polskich usługach pocztowych. 

Wśród nich były konta osób pełniących funkcje publiczne, a w komunikacie służb wskazano również adres używany przez Michała Dworczyka.

Nie był to odosobniony incydent. Działania UNC1151/Ghostwriter od lat opierają się na phishingu, przejmowaniu skrzynek pocztowych, poszukiwaniu wrażliwych dokumentów oraz wykorzystywaniu przejętych kont do dalszych ataków lub rozpowszechniania dezinformacji. 

CERT Polska zwracał uwagę, że grupa regularnie atakowała użytkowników polskich usług pocztowych, m.in. WP, Interii, Onetu czy o2, a z czasem jej wiadomości phishingowe stawały się coraz lepiej przygotowane i trudniejsze do rozpoznania. 

O aktywności UNC1151 wobec Polski wielokrotnie pisaliśmy na łamach CyberDefence24.pl, zarówno w kontekście afery mailowej i operacji Ghostwriter, jak i kolejnych kampanii wymierzonych w polskie podmioty.

Dalsze kampanie są prawdopodobne

Z perspektywy polskiej cyberprzestrzeni UNC1151 pozostaje jednym z najbardziej konsekwentnych i adaptujących się przeciwników. 

Grupa stale modernizuje techniki, ale nie porzuca sprawdzonych metod, w tym spearphishingu, kompromitacji poczty i wykorzystywania legalnych usług internetowych do maskowania aktywności.

W praktyce oznacza to wysokie prawdopodobieństwo dalszych kampanii wymierzonych w systemy webmail, administrację publiczną, sektory krytyczne oraz użytkowników popularnych usług pocztowych. Najnowsze ustalenia ESET i CERT Orange potwierdzają, że działania UNC1151 nie mają charakteru incydentalnego, ale są częścią długofalowej aktywności operacyjnej.