Nowa kampania grupy APT28 wymierzona w polskie instytucje rządowe
15.05.2024
Na początku maja zespoły Cert Polska oraz CSIRT MON zaobserwowały zakrojoną na szeroką skalę kampanię złośliwego oprogramowania wymierzone w polskie instytucje rządowe. Na podstawie wskaźników technicznych i znalezionych podobieństw do wcześniej wykrytych ataków kampania została powiązana z grupą APT28, która jest kojarzona z Głównym Zarządem Sztabu Generalnego Sił Zbrojnych Federacji Rosyjskiej (GRU).
Opis kampanii
Podczas kampanii rozsyłane były wiadomości e-mail o treści, która miała wywołać zainteresowanie odbiorcy i nakłonić do kliknięcia w link. Poniżej przedstawiamy przykład wiadomości:

Link zawarty w wiadomości kieruje na adres w domenie run.mocky.io. Jest to darmowy serwis używany do tworzenia i testowania interfejsów API. Jest on wykorzystany do przekierowania na kolejny serwis – webhook.site, który pozwala na logowanie zapytań do wygenerowanego adresu oraz konfigurowania odpowiedzi na nie. Z tego serwisu pobierane jest archiwum ZIP, którego nazwa sugeruje zawartość w postaci zdjęć. Przy domyślnych ustawieniach Windows – w tym przypadku ukryte rozszerzenia i brak pokazywania ukrytych plików – ofiara widzi następującą zawartość:

W rzeczywistości archiwum skrywa trzy pliki:
- kalkulator windowsowy ze zmienioną nazwą, np. IMG23827980.jpg.exe, który udaje zdjęcie i zachęca do uruchomienia,
- ukryty plik .bat,
- ukrytą fałszywą bibliotekę WindowsCodecs.dll
Uruchomienie widocznego pliku powoduje załadowanie podstawionej biblioteki, która to uruchamia dołączony skrypt BAT. Skrypt ten otwiera przeglądarkę Microsoft Edge, która w ramach uwiarygodnienia wyświetla stronę zawierająca zdjęcia kobiety w stroju kąpielowym jednocześnie pobierając kolejny skrypt. Ostatecznie skrypt ten zbiera wyłącznie informacje o komputerze, na którym został uruchomiony – adres IP oraz lista plików w wybranych folderach – a następnie przesyła je na serwer C2.
Cały przebieg kampanii, w tym zawartość wykorzystywanych skryptów oraz rekomendacje i IOC, zostały szczegółowo opisane w artykule na stronie Cert Polska, do którego link znajdziecie poniżej.
Źródła i przydatne linki
- https://cert.pl/posts/2024/05/apt28-kampania/
- https://www.nask.pl/pl/aktualnosci/5398,Polskie-instytucje-rzadowe-celem-APT28.html
Krzysztof Kopeć
Krzysztof Kopeć jest absolwentem wydziału Elektroniki Politechniki Wrocławskiej. Od lat pilnuje porządku wśród zer i jedynek poruszających się w miedzi i w powietrzu. W swojej karierze skupia się aktualnie na bezpieczeństwie i kontroli dostępu do sieci oraz jej monitorowaniu. Jako Inżynier Systemowy w firmie Advatech najbardziej lubi podejście kompleksowe do swoich projektów. Wspiera klientów przez całość projektu poczynając od analizy potrzeb, poprzez projekt i wdrożenie, a kończąc na wsparciu utrzymania, podczas którego chętnie podpowie co jeszcze można zrobić, żeby podnieść jakość i bezpieczeństwo infrastruktury klienta.
