Globalny atak phishingowy. Znowu stoją za nim Rosjanie

Pierwsze doniesienia o ataku pojawiły się w listopadzie zeszłego roku. Tym razem wykorzystano już istniejące backdoory, jak również i zupełnie nowe, stworzone przez hakerów.

Kolejny phishing od Rosjan

Raport X-Force podaje, że kampanią phishingową objęto 13 krajów na całym świecie. Oprócz Polski, w tym gronie znalazły się również m.in. Argentyna, Armenia, Białoruś, Stany Zjednoczone czy Ukraina.

Za organizację ataków odpowiada rosyjska grupa ITG05, wspierana przez Kreml. Zdaniem badaczy z X-Force, ataki przeprowadzane przez organizację będą kontynuowane głównie dzięki ciągle ewoluującym metodom działania.

Dokumenty-przynęty. Jest polska wersja

Atak jest niebezpieczny głównie ze względu na podszywanie się atakujących pod organizacje pozarządowe lub powiązane z władzami danego kraju i wykorzystanie ich dokumentów – zarówno prawdziwych, jak i spreparowanych – jako tzw. przynęty. W przypadku Polski wiadomo, że ITG05 wykorzystała dokument PGW Wód Polskich, które są odpowiedzialne za zagospodarowanie wód.

Przebieg ataku jest niemal taki sam w każdym z krajów. Na skrzynkę pocztową ofiary trafia wiadomość e-mail z linkiem do dokumentu-przynęty. Po jego kliknięciu zostaje on wyświetlony, ale w wersji rozmazanej; w celu zapoznania się z zawartością, konieczne jest naciśnięcie odpowiedniego przycisku z zachęcającym tekstem.

Kod Pythona w tle

Po naciśnięciu przycisku, za sprawą ukrytego w nim kodu JS, otwiera się Eksplorator Windows (ofiara musi potwierdzić jego otwarcie w powiadomieniu) z plikiem .lnk. Jego uruchomienie co prawda wyświetli pełną wersję dokumentu w przeglądarce Edge, jednak w tle wykonywany jest złośliwy kod Pythona.

Wspomniany kod zostawia trzy elementy na dysku twardym ofiary. Dwa z nich, backdoory MASEPIE oraz OCEANMAP, kontrolują komunikację – ten pierwszy łączy się z serwerem C2 co 50 sekund, a drugi sprawdza skrzynkę pocztową; celem obu jest nasłuchiwanie odpowiednich komend. Trzeci element, STEELHOOK, wykrada dane z przeglądarek internetowych.

Monitoring i czujność

Eksperci z X-Force zalecają, aby sprawdzać wiadomości e-mail przychodzące na skrzynkę pod kątem linków prowadzących do hostingu FIrstCloudIT, który jest wykorzystywany do przechowywania dokumentów-przynęt. Konieczne jest również śledzenie informacji o nowych exploitach CVE czy monitorowanie podejrzanych plików Pythona czy .lnk.

/PM

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na:*[email protected].*