Cyberbezpieczeństwo
Globalny atak phishingowy. Znowu stoją za nim Rosjanie
Trwa zakrojona na światową skalę kampania phishingowa, której celem jest wykradanie danych z komputerów przez Rosjan. Atakujący wykorzystują prawdziwe dokumenty w celu zyskania zaufania. Wśród zaatakowanych krajów znajduje się Polska.
Pierwsze doniesienia o ataku pojawiły się w listopadzie zeszłego roku. Tym razem wykorzystano już istniejące backdoory, jak również i zupełnie nowe, stworzone przez hakerów.
Kolejny phishing od Rosjan
Raport X-Force podaje, że kampanią phishingową objęto 13 krajów na całym świecie. Oprócz Polski, w tym gronie znalazły się również m.in. Argentyna, Armenia, Białoruś, Stany Zjednoczone czy Ukraina.
Za organizację ataków odpowiada rosyjska grupa ITG05, wspierana przez Kreml. Zdaniem badaczy z X-Force, ataki przeprowadzane przez organizację będą kontynuowane głównie dzięki ciągle ewoluującym metodom działania.
Czytaj też
Dokumenty-przynęty. Jest polska wersja
Atak jest niebezpieczny głównie ze względu na podszywanie się atakujących pod organizacje pozarządowe lub powiązane z władzami danego kraju i wykorzystanie ich dokumentów – zarówno prawdziwych, jak i spreparowanych – jako tzw. przynęty. W przypadku Polski wiadomo, że ITG05 wykorzystała dokument PGW Wód Polskich, które są odpowiedzialne za zagospodarowanie wód.
Przebieg ataku jest niemal taki sam w każdym z krajów. Na skrzynkę pocztową ofiary trafia wiadomość e-mail z linkiem do dokumentu-przynęty. Po jego kliknięciu zostaje on wyświetlony, ale w wersji rozmazanej; w celu zapoznania się z zawartością, konieczne jest naciśnięcie odpowiedniego przycisku z zachęcającym tekstem.
Czytaj też
Kod Pythona w tle
Po naciśnięciu przycisku, za sprawą ukrytego w nim kodu JS, otwiera się Eksplorator Windows (ofiara musi potwierdzić jego otwarcie w powiadomieniu) z plikiem .lnk. Jego uruchomienie co prawda wyświetli pełną wersję dokumentu w przeglądarce Edge, jednak w tle wykonywany jest złośliwy kod Pythona.
Wspomniany kod zostawia trzy elementy na dysku twardym ofiary. Dwa z nich, backdoory MASEPIE oraz OCEANMAP, kontrolują komunikację – ten pierwszy łączy się z serwerem C2 co 50 sekund, a drugi sprawdza skrzynkę pocztową; celem obu jest nasłuchiwanie odpowiednich komend. Trzeci element, STEELHOOK, wykrada dane z przeglądarek internetowych.
Czytaj też
Monitoring i czujność
Eksperci z X-Force zalecają, aby sprawdzać wiadomości e-mail przychodzące na skrzynkę pod kątem linków prowadzących do hostingu FIrstCloudIT, który jest wykorzystywany do przechowywania dokumentów-przynęt. Konieczne jest również śledzenie informacji o nowych exploitach CVE czy monitorowanie podejrzanych plików Pythona czy .lnk.
/PM
Czytaj też
Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na:*[email protected].*
GERT
I nikt nie potrafi atakować Rosji? Żenujące