Poolse overheidsinstellingen zijn het doelwit geweest als onderdeel van een grootschalige malwarecampagne, georkestreerd door een aan Rusland gelieerde natiestatelijke actor genaamd APT28.
“De campagne stuurde e-mails met inhoud die bedoeld was om de interesse van de ontvanger te wekken en hem over te halen op de link te klikken”, zei het computernoodhulpteam, CERT Polska, in een woensdagbulletin.
Als u op de link klikt, wordt het slachtoffer omgeleid naar het domein run.mocky(.)io, dat op zijn beurt wordt gebruikt om door te verwijzen naar een andere legitieme site genaamd webhook(.)site, een gratis service waarmee ontwikkelaars de verzonden gegevens kunnen inspecteren. via een webhook, in een poging detectie te omzeilen.
De stap omvat het downloaden van een ZIP-archiefbestand van de webhook(.)site, dat het binaire bestand Windows Calculator bevat dat zich voordoet als een JPG-afbeeldingsbestand (“IMG-238279780.jpg.exe”), een verborgen batchscriptbestand, en een ander verborgen DLL-bestand (“WindowsCodecs.dll”).
Mocht een slachtoffer de applicatie uitvoeren, dan wordt het kwaadaardige DLL-bestand aan de zijkant geladen door middel van een techniek genaamd DLL side-loading om uiteindelijk het batchscript uit te voeren, terwijl afbeeldingen van een 'echte vrouw in zwempak samen met links naar haar echte accounts op sociale-mediaplatforms” worden weergegeven in een webbrowser om de list in stand te houden.
Het batchscript downloadt tegelijkertijd een JPG-afbeelding (“IMG-238279780.jpg”) van de webhook(.)-site die vervolgens wordt hernoemd naar een CMD-script (“IMG-238279780.cmd) en wordt uitgevoerd, waarna het de payload van de laatste fase ophaalt om informatie te verzamelen over de gecompromitteerde host en de details terug te sturen.
CERT Polska zei dat de aanvalsketen overeenkomsten vertoont met een eerdere campagne die een aangepaste achterdeur propageerde, genaamd HeadLace.
Het is vermeldenswaard dat misbruik van legitieme diensten zoals Mocky en webhook(.)site een tactiek is die herhaaldelijk door ATP28-actoren wordt toegepast om detectie door beveiligingssoftware te omzeilen.
“Als uw organisatie de bovengenoemde diensten niet gebruikt, raden wij u aan om de bovengenoemde domeinen op edge-apparaten te blokkeren”, aldus het rapport.
“Ongeacht of u de bovengenoemde websites gebruikt, raden we u ook aan e-mails te filteren op links in webhook.site en run.mocky.io, omdat gevallen van legitiem gebruik in de e-mailinhoud zeer zeldzaam zijn.”
De ontwikkeling komt dagen nadat de NAVO-landen de door het Kremlin gesteunde groep beschuldigden van het voeren van een langdurige cyberspionagecampagne gericht op hun politieke entiteiten, staatsinstellingen en kritieke infrastructuur.
De kwaadaardige activiteiten van APT28 hebben zich ook uitgebreid naar iOS-apparaten met de XAgent-spyware, die voor het eerst werd beschreven door Trend Micro in verband met een campagne genaamd Operation Pawn Storm in februari 2015.
“XAgent richt zich voornamelijk op politieke en overheidsinstanties in West-Europa en beschikt over mogelijkheden voor afstandsbediening en data-exfiltratie”, aldus Symantec, eigendom van Broadcom.
“Het kan informatie verzamelen over de contacten van gebruikers, berichten, apparaatgegevens, geïnstalleerde applicaties, screenshots en oproeprecords. Deze gegevens kunnen mogelijk worden gebruikt voor social engineering- of spear-phishing-campagnes.”
Het nieuws over de aanvallen van APT28 op Poolse entiteiten volgt ook op een piek in financieel gemotiveerde aanvallen door Russische e-crime-groepen zoals UAC-0006 gericht op Oekraïne in de tweede helft van 2023, zelfs nu organisaties in Rusland en Wit-Rusland het doelwit zijn geworden van een natiestatelijke actor. bekend als Midge om malware te leveren die gevoelige informatie kan plunderen.