Polskie instytucje rządowe celem ataku prorosyjskiej grupy
CERT Polska zaleca administratorom, by sprawdzili, czy w ich organizacji doszło do ataku. Opisuje jak on przebiega.
Stosowanie przez APT28 przekierowań na znane domeny utrudnia wykrycie linków jako złośliwe.
Grupa APT28, której przypisuje się związki z rosyjskim wywiadem wojskowym (GRU), zaatakowała polskie instytucje rządowe z pomocą szkodliwego oprogramowania – ostrzega CERT Polska. Zaleca, by administratorzy sieci w organizacjach zweryfikowali, czy pracownicy byli obiektem opisanego ataku.
Jak przebiega atak
APT28 rozsyła wiadomości e-mail, których treść ma wywołać zainteresowanie u odbiorcy i nakłonić go do kliknięcia w link. Kieruje on do adresu w domenie run.mocky.io – to darmowy serwis używany przez programistów. W tym przypadku został on jednak wykorzystany do przekierowania na kolejny serwis, popularny wśród ludzi z branży – webhook.site. Stosowanie przekierowań na znane domeny utrudnia wykrycie linków jako złośliwe, a jednocześnie obniża koszt prowadzonej operacji – wyjaśnia CERT Polska. To trend, który polscy specjaliści obserwują u wielu grup APT.
Przykład maila rozsyłanego przez cyberprzestępców
W lutym br. FBI poinformowała o wykryciu kampanii prowadzonej przez APT28, która zhakowała „setki” routerów, by włamywać się do firmowych sieci w celu przeprowadzania ataków phishingowych i kradzieży danych.
Podobne aktualności
110 tys. ataków na polskie firmy i organizacje w 2024 roku
Analitycy podsumowują ub.r. i wskazują trendy w cyberbezpieczeństwie na rok 2025.
Ponad 3-krotny wzrost kradzieży danych uwierzytelniających w Europie
84 proc. naruszeń bezpieczeństwa dostawców w 2024 r. wynikało z podatności w łańcuchu dostaw.