ȘtiriTech&IT

Polonia, pe lista țărilor atacate de grupul rusesc APT28

În timpul atacului, victimei îi este distrasă atenția cu fotografii ale unei femei în costum de baie

După Germania şi Republica Cehă și instituțiile guvernamentale din Polonia au fost vizate de o campanie malware, orchestrată de un grup numit APT28, scrie CERT Polonia. APT28, cunoscut și sub numele de Fancy Bear, Sofacy sau Strontium, este un grup de amenințare persistentă avansată (APT), despre care se crede că este asociat cu GRU, agenția de informații militare a Rusiei.

Firma de securitate cibernetică CrowdStrike a declarat anterior că grupul este asociat cu agenția de informații militare rusească GRU. În 2018, un consiliu special din Statele Unite a identificat Fancy Bear ca Unitatea GRU 26165. Metodele utilizate de APT28 includ exploit-uri de tip zero-day, spear phishing și malware pentru a compromite țintele. Acest grup este, de asemenea, cunoscut pentru înregistrarea de domenii clonă ale organizațiilor legitime.

Analiză tehnică a atacului APT28 asupra instituțiilor poloneze

Campania malware a folosit e-mailuri cu conținut conceput pentru a stârni interesul destinatarilor și pentru a-i convinge să acceseze un link. Acest link redirecționează utilizatorul către o adresă de pe domeniul run.mocky.io, un serviciu gratuit utilizat de dezvoltatori pentru a crea și testa API-uri. În acest caz, a fost folosit doar pentru a redirecționa către un alt site, webhook.site, care permite înregistrarea tuturor interogărilor la adresa generată și configurarea răspunsurilor la acestea.

Ulterior, se descarcă o arhivă ZIP de pe site-ul webhook.site, sugerând că ar conține fotografii, dar în realitate arhiva conține trei fișiere:

  • Un calculator Windows redenumit (de exemplu, IMG-238279780.jpg.exe), care pretinde că este o fotografie pentru a încuraja victima să dea clic.
  • Un fișier script. bat ascuns.
  • O bibliotecă falsă WindowsCodecs.dll ascunsă.

Atacul APT28 foto via cert.pl

Mecanismul de atac al APT28

Dacă victima deschide fișierul IMG-238279780.jpg.exe, care inițial pare a fi un simplu calculator, acesta va iniția încărcarea unei versiuni modificate a bibliotecii WindowsCodecs.dll. Această bibliotecă alterată este încărcată de fișierul executabil — care maschează un calculator — prin utilizarea tehnicii de încărcare laterală a bibliotecilor (DLL Side-Loading).

Această metodă permite executarea unui cod malițios ascuns în bibliotecă. Principalul scop al acestui DLL modificat este de a activa executarea unui script BAT atașat, care continuă lansarea operațiunilor malițioase.

Scriptul BAT deschide browserul Microsoft Edge, care încarcă conținutul unei pagini codificate în base64 pentru a descărca un alt script batch, tot prin intermediul site-ului webhook.site.

În același timp, browserul afișează fotografii ale unei femei în costum de baie, împreună cu linkuri către conturile ei de pe platformele de socializare, menite să creeze o poveste care să scadă vigilența victimei. Scriptul salvează fișierul descărcat cu extensia .jpg pe disc, schimbă extensia din .jpg, în .cmd și în final îl execută.

CERT Polska a emis recomandări pentru organizații de a verifica conexiunile recente la domeniile implicate și de a filtra e-mailurile care conțin linkuri către aceste site-uri. În plus, organizațiile care nu utilizează serviciile webhook.site și run.mocky.io sunt îndemnate să blocheze accesul la aceste domenii pentru a preveni atacuri similare.

Anunțul polonezilor vine la câteva zile după ce țările NATO au acuzat grupul susținut de Kremlin că a desfășurat o campanie de spionaj cibernetic pe termen lung, vizând entitățile politice, instituțiile de stat și infrastructura critică.

Activitățile rău intenționate ale APT28 s-au extins și la țintirea dispozitivelor iOS cu spyware-ul XAgent, care a fost analizat pentru prima dată de Trend Micro, în legătură cu o campanie numită Operațiunea Pawn Storm în februarie 2015.

 

Articole asemanatoare

Lasă un răspuns

Adresa ta de email nu va fi publicată. Câmpurile obligatorii sunt marcate cu *

Acest site folosește Akismet pentru a reduce spamul. Află cum sunt procesate datele comentariilor tale.

Back to top button