Grupa APT28, której przypisuje się związki z rosyjskim wywiadem wojskowym (GRU), zaatakowała polskie instytucje rządowe z pomocą szkodliwego oprogramowania – ostrzega CERT Polska. Zaleca, by administratorzy sieci w organizacjach zweryfikowali, czy pracownicy byli obiektem opisanego ataku.

Jak przebiega atak

APT28 rozsyła wiadomości e-mail, których treść ma wywołać zainteresowanie u odbiorcy i nakłonić go do kliknięcia w link. Kieruje on do adresu w domenie run.mocky.io – to darmowy serwis używany przez programistów. W tym przypadku został on jednak wykorzystany do przekierowania na kolejny serwis, popularny wśród ludzi z branży – webhook.site. Stosowanie przekierowań na znane domeny utrudnia wykrycie linków jako złośliwe, a jednocześnie obniża koszt prowadzonej operacji – wyjaśnia CERT Polska. To trend, który polscy specjaliści obserwują u wielu grup APT.

Przykład maila rozsyłanego przez cyberprzestępców

W lutym br. FBI poinformowała o wykryciu kampanii prowadzonej przez APT28, która zhakowała „setki” routerów, by włamywać się do firmowych sieci w celu przeprowadzania ataków phishingowych i kradzieży danych.