După Germania şi Republica Cehă și instituțiile guvernamentale din Polonia au fost vizate de o campanie malware, orchestrată de un grup numit APT28, scrie CERT Polonia. APT28, cunoscut și sub numele de Fancy Bear, Sofacy sau Strontium, este un grup de amenințare persistentă avansată (APT), despre care se crede că este asociat cu GRU, agenția de informații militare a Rusiei.
Firma de securitate cibernetică CrowdStrike a declarat anterior că grupul este asociat cu agenția de informații militare rusească GRU. În 2018, un consiliu special din Statele Unite a identificat Fancy Bear ca Unitatea GRU 26165. Metodele utilizate de APT28 includ exploit-uri de tip zero-day, spear phishing și malware pentru a compromite țintele. Acest grup este, de asemenea, cunoscut pentru înregistrarea de domenii clonă ale organizațiilor legitime.
Analiză tehnică a atacului APT28 asupra instituțiilor poloneze
Campania malware a folosit e-mailuri cu conținut conceput pentru a stârni interesul destinatarilor și pentru a-i convinge să acceseze un link. Acest link redirecționează utilizatorul către o adresă de pe domeniul run.mocky.io, un serviciu gratuit utilizat de dezvoltatori pentru a crea și testa API-uri. În acest caz, a fost folosit doar pentru a redirecționa către un alt site, webhook.site, care permite înregistrarea tuturor interogărilor la adresa generată și configurarea răspunsurilor la acestea.
Ulterior, se descarcă o arhivă ZIP de pe site-ul webhook.site, sugerând că ar conține fotografii, dar în realitate arhiva conține trei fișiere:
- Un calculator Windows redenumit (de exemplu, IMG-238279780.jpg.exe), care pretinde că este o fotografie pentru a încuraja victima să dea clic.
- Un fișier script. bat ascuns.
- O bibliotecă falsă WindowsCodecs.dll ascunsă.
Mecanismul de atac al APT28
Dacă victima deschide fișierul IMG-238279780.jpg.exe, care inițial pare a fi un simplu calculator, acesta va iniția încărcarea unei versiuni modificate a bibliotecii WindowsCodecs.dll. Această bibliotecă alterată este încărcată de fișierul executabil — care maschează un calculator — prin utilizarea tehnicii de încărcare laterală a bibliotecilor (DLL Side-Loading).
Această metodă permite executarea unui cod malițios ascuns în bibliotecă. Principalul scop al acestui DLL modificat este de a activa executarea unui script BAT atașat, care continuă lansarea operațiunilor malițioase.
Scriptul BAT deschide browserul Microsoft Edge, care încarcă conținutul unei pagini codificate în base64 pentru a descărca un alt script batch, tot prin intermediul site-ului webhook.site.
În același timp, browserul afișează fotografii ale unei femei în costum de baie, împreună cu linkuri către conturile ei de pe platformele de socializare, menite să creeze o poveste care să scadă vigilența victimei. Scriptul salvează fișierul descărcat cu extensia .jpg pe disc, schimbă extensia din .jpg, în .cmd și în final îl execută.
CERT Polska a emis recomandări pentru organizații de a verifica conexiunile recente la domeniile implicate și de a filtra e-mailurile care conțin linkuri către aceste site-uri. În plus, organizațiile care nu utilizează serviciile webhook.site și run.mocky.io sunt îndemnate să blocheze accesul la aceste domenii pentru a preveni atacuri similare.
Anunțul polonezilor vine la câteva zile după ce țările NATO au acuzat grupul susținut de Kremlin că a desfășurat o campanie de spionaj cibernetic pe termen lung, vizând entitățile politice, instituțiile de stat și infrastructura critică.
Activitățile rău intenționate ale APT28 s-au extins și la țintirea dispozitivelor iOS cu spyware-ul XAgent, care a fost analizat pentru prima dată de Trend Micro, în legătură cu o campanie numită Operațiunea Pawn Storm în februarie 2015.