Польские правительственные учреждения подверглись атакам в рамках крупномасштабной вредоносной кампании, организованной связанным с Россией субъектом национального государства под названием APT28.
"Кампания рассылала электронные письма с содержанием, предназначенным для того, чтобы вызвать интерес получателя и убедить его перейти по ссылке", - сообщила в среду в бюллетене группа реагирования на компьютерные чрезвычайные ситуации CERT Polska.
Нажатие на ссылку перенаправляет жертву на домен run.mocky[.]io, который, в свою очередь, используется для перенаправления на другой законный сайт под названием webhook[.]сайт, бесплатный сервис, который позволяет разработчикам проверять данные, отправляемые через webhook, в попытке избежать обнаружения.
Следующий шаг включает загрузку файла ZIP-архива с сайта webhook [.], который содержит двоичный файл калькулятора Windows, маскирующийся под файл изображения JPG ("IMG-238279780.jpg.exe"), скрытый файл пакетного скрипта и другой скрытый файл DLL ("WindowsCodecs.dll").
Если жертва запускает приложение, вредоносный DLL-файл загружается с помощью технологии, называемой боковой загрузкой DLL, чтобы в конечном итоге запустить пакетный скрипт, в то время как изображения "реальной женщины в купальнике вместе со ссылками на ее реальные аккаунты на платформах социальных сетей" отображаются в веб-браузере для поддержания уловки.
Пакетный скрипт одновременно загружает изображение в формате JPG ("IMG-238279780.jpg") с сайта webhook [.], который впоследствии переименовывается в CMD-скрипт ("IMG-238279780.cmd) и выполняется, после чего он извлекает полезную нагрузку заключительного этапа для сбора информации о скомпрометированном хостинге и отправки деталей обратно.
CERT Polska заявила, что цепочка атак имеет сходство с предыдущей кампанией, в ходе которой распространялся пользовательский бэкдор под названием HeadLace.
Стоит отметить злоупотребление законными сервисами, такими как Mocky и webhook[.]сайт - это тактика, неоднократно применявшаяся участниками ATP28, чтобы обойти обнаружение программным обеспечением безопасности.
"Если ваша организация не использует вышеупомянутые сервисы, мы рекомендуем вам рассмотреть возможность блокировки вышеупомянутых доменов на периферийных устройствах", - добавлено в нем.
"Независимо от того, пользуетесь ли вы вышеупомянутыми веб-сайтами, мы также рекомендуем фильтровать электронные письма на наличие ссылок в webhook.сайт и run.mocky.io, потому что случаи их законного использования в содержимом электронных писем очень редки".
Разработка произошла через несколько дней после того, как страны НАТО обвинили поддерживаемую Кремлем группу в проведении долгосрочной кампании кибершпионажа, направленной против их политических структур, государственных учреждений и критически важной инфраструктуры.
Вредоносная деятельность APT28 также распространилась на устройства iOS со шпионским ПО XAgent, которое было впервые подробно описано Trend Micro в связи с кампанией, получившей название Operation Pawn Storm в феврале 2015 года.
"XAgent, нацеленный в первую очередь на политические и правительственные структуры в Западной Европе, обладает возможностями удаленного управления и эксфильтрации данных", - сказал Symantec, принадлежащий Broadcom.
"Он может собирать информацию о контактах пользователей, сообщениях, деталях устройств, установленных приложениях, скриншотах и записях звонков. Эти данные потенциально могут быть использованы для социальной инженерии или шпионских фишинговых кампаний".
Новости об атаках APT28 на польские организации также последовали за всплеском финансово мотивированных атак со стороны российских электронных преступных групп, таких как UAC-0006, нацеленных на Украину во второй половине 2023 года, даже несмотря на то, что организации в России и Беларуси стали мишенью государственного деятеля, известного как Мидж, для распространения вредоносного ПО, способного похитить конфиденциальную информацию.
"Кампания рассылала электронные письма с содержанием, предназначенным для того, чтобы вызвать интерес получателя и убедить его перейти по ссылке", - сообщила в среду в бюллетене группа реагирования на компьютерные чрезвычайные ситуации CERT Polska.
Нажатие на ссылку перенаправляет жертву на домен run.mocky[.]io, который, в свою очередь, используется для перенаправления на другой законный сайт под названием webhook[.]сайт, бесплатный сервис, который позволяет разработчикам проверять данные, отправляемые через webhook, в попытке избежать обнаружения.
Следующий шаг включает загрузку файла ZIP-архива с сайта webhook [.], который содержит двоичный файл калькулятора Windows, маскирующийся под файл изображения JPG ("IMG-238279780.jpg.exe"), скрытый файл пакетного скрипта и другой скрытый файл DLL ("WindowsCodecs.dll").
Если жертва запускает приложение, вредоносный DLL-файл загружается с помощью технологии, называемой боковой загрузкой DLL, чтобы в конечном итоге запустить пакетный скрипт, в то время как изображения "реальной женщины в купальнике вместе со ссылками на ее реальные аккаунты на платформах социальных сетей" отображаются в веб-браузере для поддержания уловки.
Пакетный скрипт одновременно загружает изображение в формате JPG ("IMG-238279780.jpg") с сайта webhook [.], который впоследствии переименовывается в CMD-скрипт ("IMG-238279780.cmd) и выполняется, после чего он извлекает полезную нагрузку заключительного этапа для сбора информации о скомпрометированном хостинге и отправки деталей обратно.
CERT Polska заявила, что цепочка атак имеет сходство с предыдущей кампанией, в ходе которой распространялся пользовательский бэкдор под названием HeadLace.
Стоит отметить злоупотребление законными сервисами, такими как Mocky и webhook[.]сайт - это тактика, неоднократно применявшаяся участниками ATP28, чтобы обойти обнаружение программным обеспечением безопасности.
"Если ваша организация не использует вышеупомянутые сервисы, мы рекомендуем вам рассмотреть возможность блокировки вышеупомянутых доменов на периферийных устройствах", - добавлено в нем.
"Независимо от того, пользуетесь ли вы вышеупомянутыми веб-сайтами, мы также рекомендуем фильтровать электронные письма на наличие ссылок в webhook.сайт и run.mocky.io, потому что случаи их законного использования в содержимом электронных писем очень редки".
Разработка произошла через несколько дней после того, как страны НАТО обвинили поддерживаемую Кремлем группу в проведении долгосрочной кампании кибершпионажа, направленной против их политических структур, государственных учреждений и критически важной инфраструктуры.
Вредоносная деятельность APT28 также распространилась на устройства iOS со шпионским ПО XAgent, которое было впервые подробно описано Trend Micro в связи с кампанией, получившей название Operation Pawn Storm в феврале 2015 года.
"XAgent, нацеленный в первую очередь на политические и правительственные структуры в Западной Европе, обладает возможностями удаленного управления и эксфильтрации данных", - сказал Symantec, принадлежащий Broadcom.
"Он может собирать информацию о контактах пользователей, сообщениях, деталях устройств, установленных приложениях, скриншотах и записях звонков. Эти данные потенциально могут быть использованы для социальной инженерии или шпионских фишинговых кампаний".
Новости об атаках APT28 на польские организации также последовали за всплеском финансово мотивированных атак со стороны российских электронных преступных групп, таких как UAC-0006, нацеленных на Украину во второй половине 2023 года, даже несмотря на то, что организации в России и Беларуси стали мишенью государственного деятеля, известного как Мидж, для распространения вредоносного ПО, способного похитить конфиденциальную информацию.
