AktualnośćPolskie instytucje rządowe celem APT28
Szkodliwe oprogramowanie wymierzone w polskie instytucje rządowe było w tym tygodniu dystrybuowane przez grupę APT28, wiązaną ze służbami wywiadowczymi Rosji. Wrogą działalność odnotowały i opisały CERT Polska z NASK oraz CSIRT MON. CERT Polska ostrzega i zaleca, by administratorzy sieci w organizacjach zweryfikowali, czy pracownicy nie byli obiektem opisanego poniżej ataku.
Współpraca między instytucjami krajowego systemu cyberbezpieczeństwa w obserwacji i wykrywaniu aktywności grup wiązanych ze służbami rosyjskimi jest niezwykle istotna dla bezpieczeństwa Polski. Wspólne działanie analityków CERT Polska i CSIRT MON dało efekt w postaci rekomendacji, które pozwolą administratorom na wykrycie i przecięcie takiej wrogiej działalności –powiedział Sebastian Kondraszuk, kierujący zespołem CERT Polska, działającym w NASK.
Jak wyglądał atak – analiza techniczna
Wskaźniki techniczne i podobieństwa do opisywanych w przeszłości ataków pozwoliły na identyfikację grupy APT28, stojącej za opisanymi niżej aktywnościami. Grupa ta jest kojarzona z Głównym Zarządem Wywiadowczym Sztabu Generalnego Sił Zbrojnych Federacji Rosyjskiej (GRU).
Pierwszy element kampanii prowadzonej przez APT28 to wysyłka wiadomości e-mail. Jej treść wykorzystuje elementy socjotechniki, które mają wywołać zainteresowanie u odbiorcy i nakłonić go do kliknięcia w link.
Link kieruje do adresu w domenie run.mocky.io – to darmowy serwis używany przez programistów. W tym przypadku został on jednak wykorzystany tylko do przekierowania na kolejny serwis – webhook.site. To również popularny adres wśród osób związanych z IT. Wykorzystanie darmowych, powszechnie używanych usług, zamiast własnych domen, pozwala na znaczne ograniczenie wykrycia linków jako złośliwe, a jednocześnie obniża koszt prowadzonej operacji. To trend, który obserwujemy u wielu grup APT.
Z serwisu webhook.site zostaje ostatecznie pobrane archiwum ZIP, którego nazwa sugeruje zawartość w postaci zdjęć, bo zaczyna się od skrótu „IMG”.
Tak naprawdę archiwum zawiera trzy pliki. Gdy ofiara uruchomi plik (widoczny na zrzucie ekranowym), wykonywana jest seria skryptów, które mają na celu poznanie adresu IP urządzenia ofiary i listy plików – co pozwala ocenić, czy wybrany cel jest dla atakujących atrakcyjny. Jeśli okaże się interesujący, mają oni możliwość wykonania na komputerze ofiary dodatkowych, dowolnych działań.
Atakowany nie ma świadomości, co dzieje się z jego urządzeniem, ponieważ jednocześnie w przeglądarce wyświetlane są zdjęcia kobiety w bieliźnie, co ma uwiarygodnić narrację przesłaną przez atakujących w e-mailu.
CERT Polska pilnie ostrzega
Podstawowym celem tego komunikatu jest zakłócenie wrogich działań i umożliwienie wykrycia oraz analizy opisywanych działań. CERT Polska rekomenduje weryfikację przez administratorów sieci, czy pracownicy organizacji nie byli obiektem opisywanego ataku. Szczegółowe wskazówki w tym zakresie znajdują się w publikacji na stronie cert.pl.
Jeśli istnieje podejrzenie infekcji szkodliwym oprogramowaniem, kluczowe jest odłączenie urządzenia od sieci i niezwłoczny kontakt z właściwym zespołem CSIRT.
Wyróżnione aktualności
AktualnośćOd lajków do lęków – zaburzenia odżywiania w erze scrollowania
Zaburzenia psychiczne związane z jedzeniem i zniekształcony obraz ciała coraz częściej zaczynają się od ekranu telefonu. Problem ten wpisuje się szerzej w kryzys zdrowia psychicznego zanurzonych w środowisku cyfrowym młodych ludzi. Nastolatki patrzą na idealny świat w mediach społecznościowych, a siebie widzą w krzywym zwierciadle.
AktualnośćNASK rozwinie komunikację kwantową z europejskimi satelitami
Międzynarodowe konsorcjum pod przewodnictwem NASK zbuduje optyczną stację naziemną umożliwiającą kwantowe ustalanie klucza (QKD) z europejskimi satelitami. Projekt PIONIER-Q-SAT umożliwi łączność m.in. z satelitą Eagle-1 i połączy Polskę z innymi krajami biorącymi udział w programie EuroQCI Komisji Europejskiej.
AktualnośćOkazja czy pułapka? Kupuj bezpiecznie online
Black Friday i Cyber Monday wyewoluowały w całe tygodnie kuszące okazjami i promocjami, a gorączka świątecznych zakupów już się rozpoczęła. Wiedzą o tym nie tylko klienci, ale i cyberprzestępcy. By się przed nimi ustrzec, warto zajrzeć do najnowszej publikacji NASK o bezpiecznych zakupach online.
AktualnośćWolność w sieci czy era regulacji?
Co zmieni się w internecie po wdrożeniu unijnych regulacji DSA? Jak nowe prawo może wpłynąć na nasze bezpieczeństwo, ochronę dzieci i wizerunku, a także przyszłość cyfrowej komunikacji? Odpowiedzi na te pytania padły podczas debaty Strefy Dialogu Jutra Human Answer Institute w Polskiej Agencji Prasowej.
Najnowsze aktualności
AktualnośćTwoje dane, Twoje wspomnienia – dlaczego backup ma znaczenie
Na co dzień rzadko zastanawiamy się nad wartością naszych danych. Traktujemy je jako coś oczywistego – są, więc po prostu z nich korzystamy. Dopiero ich brak uświadamia, jak wiele znaczą. Zdjęcia przestają być zwykłymi plikami, a zaczynają być wspomnieniami. Dokumenty okazują się efektem wielu godzin pracy, a kontakty i wiadomości – elementem relacji, których nie da się łatwo odtworzyć.
AktualnośćCERT Polska i policja. Wspólny front przeciw cyberprzestępcom
Najbardziej niszczycielskie rodzaje cyberataków? Ransomware. Nasz kraj jest na nie nieustannie narażony. Policjanci z Centralnego Biura Zwalczania Cyberprzestępczości (CBZC) wiedzą, jak pracować z podmiotami, które zostały zaatakowane. Wszystko dzięki ekspertom z CERT Polska, działającego w NASK, którzy przeprowadzili cykl szkoleń w ramach projektu CROPT.
AktualnośćKończy się era, w której mogliśmy ufać własnym oczom – Kacper Szurek o SECURE 2026
Kacper Szurek to doświadczony praktyk cyberbezpieczeństwa, który od lat wspiera firmy w budowaniu cyfrowej odporności. Podczas SECURE 2026 będzie mówił o tym, jak oszuści wykorzystują AI, Już teraz opowiedział nam o zagrożeniach, których nie widać na pierwszy rzut oka.