Logotyp serwisu CyberDefence24
Reklama

Podejrzane pliki na Signalu. To rosyjski phishing

Zespół CERT-UA wykrył kampanię phishingową wymierzoną w ukraińskie podmioty rządowe. Według cyberekspertów, odpowiada za nią rosyjska jednostka GRU, przed którą ostrzegały polskie służby.
Zespół CERT-UA wykrył kampanię phishingową wymierzoną w ukraińskie podmioty rządowe. Według cyberekspertów, odpowiada za nią rosyjska jednostka GRU, przed którą ostrzegały polskie służby.
Autor. Dimmis Vart/Unsplash

Zespół CERT-UA zidentyfikował kampanię phishingową wymierzoną przeciwko ukraińskiemu podmiotowi rządowemu. Według Kijowa, za jego przeprowadzenie odpowiada jednostka rosyjskiego GRU – ta sama, przed którą niedawno ostrzegały polskie służby.

Działania Rosjan na froncie cybernetycznym nie maleją od rozpoczęcia pełnoskalowej inwazji tego kraju na Ukrainę. Jednym z najważniejszych celów dla Moskwy jest infrastruktura krytyczna, także w Polsce – na naszych łamach przedstawialiśmy cyberataki wymierzone w szpitale czy oczyszczalnie ścieków.

Reklama

Malware śledzące użytkownika

O kolejnym incydencie związanym z działaniami rosyjskich aktorów zagrożeń poinformował zespół CERT-UAEksperci cyberbezpieczeństwa w marcu i kwietniu zidentyfikowali na komputerach dwa malware, nazwane BeardShell i SlimAgent. Pierwszy z nich funkcjonował jako backdoor zdolny do wykonywania skryptów PowerShell.

Zarządzanie BearShell odbywało się za pomocą API Icedrive, zaś każdy z zainfekowanych nim komputerów miał przypisany osobny folder. W przypadku SlimAgenta podstawową funkcjonalnością było wykonywanie zrzutów ekranu. Następnie były one szyfrowane i zapisywane lokalnie na komputerze.

Czytaj też

Reklama

Phishing i GRU. Były ostrzeżenia

Początkowo nie było wiadomo, jak złośliwe oprogramowanie znalazło się na komputerze. Przełom przyszedł w maju, gdy odkryto, że do infekcji dochodziło za pośrednictwem komunikatora Signal, w którym ofiara otrzymywała plik .doc. Jak wskazuje serwis The Record, zawierał on złośliwe makra. 

Co istotne, atakujący wiedzieli dokładnie, kto jest ich celem. Przynęta była przygotowana w taki sposób, aby przekonała odbiorcę wiadomości do otwarcia niebezpiecznego pliku.

Według informacji CERT-UA, za przeprowadzenie ataku odpowiada APT28, czyli rosyjska jednostka GRU 26165. Dokładnie przed nią ostrzegały służby NATO, w tym ABW i SKW – informowaliśmy o tym na naszych łamach. Nie jest zaskoczeniem również wykorzystanie Signala do phishingu; przed atakami podszywającymi się pod obsługę komunikatora ostrzegało zarówno Ministerstwo Cyfryzacji, jak i DKWOC.

Czytaj też

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na:[email protected].

Reklama
Reklama

SK@NER: Jak przestępcy czyszczą nasze konta?

Komentarze

    Reklama

    Czytaj także

    CBZC podejmuje współpracę z sektorem naukowym
    Prezes UODO pisze do szefów rozgłośni. Powodem dane osobowe
    Zakaz WhatsAppa w Izbie Reprezentantów. "Nie zapewnia bezpieczeństwa"
    Zdrowie psychiczne dzieci w erze cyfrowej. Są unijne rekomendacje
    Podatności w kliencie poczty e-mail. Konieczna aktualizacja
    Ransomware, czyli poważne zagrożenie dla polskich organizacji
    Ataki ransomware. Jak się przed nimi skutecznie chronić?
    Samsung Galaxy S25+
    Samsung wprowadza One UI 8. Nowa jakość dzięki AI
    Kamery bronią Iranu? Izrael chce ich wyłączenia