Prema podacima kojima se trenutačno raspolaže, nepoznata hakerska skupina ciljano je napadala zaposlenike hrvatskih državnih institucija od veljače do travnja ove godine. Slala im je lažne poruke koje su trebale predstavljati e-mailove Hrvatske pošte i drugih dostavnih usluga.
Unutar poruka skrivao se, dakako, malware.
Detalji napada
- U tijelu poruke elektroničke pošte nalazi se poveznica na zlonamjernu stranicu hxxps://postahr.vip/ (protokol https je promijenjen kako bi se izbjeglo nenamjerno posjećivanje). Stranica se nalazi na IP adresi 93.170.105.32 na dediciranom poslužitelju u Nizozemskoj, kažu iz ZSIS-a.
- Na navedenoj stranici nalazi se sadržaj preuzet sa službenih stranica Hrvatske pošte, a odmah po posjećivanju stranice korisniku se nudi preuzimanje datoteke obavijest_o_posiljki.xls. Do sada su poznate dvije inačice navedene datoteke:
- Prva inačica predstavlja SilentTrinity zlonamjerni program koji se izvršava u memoriji računala i komunicira sa zlonamjernim poslužiteljem na adresi hxxps://176.105.255.59:8089. Zlonamjerni program dohvaća se putem SMB protokola.
- Druga inačica predstavlja Powershell Empire zlonamjerni program koji se preuzima s adrese hxxps://posteitaliane.live/owa/mail/drafts.srf.
Zloćudne stranice i dalje su aktivne
Hrvatska pošta već je pokrenula korake za uklanjanje zlonamjernih internetskih stranica i poslužitelja, no trenutačno su obje inačice i dalje aktivne. Zlonamjernim programom napadači mogu preuzeti kontrolu nad računalom i izvoditi proizvoljne naredbe pod ovlastima korisnika koji je otvorio XLS datoteku i omogućio izvršavanje makro naredbi.
Hrvatske institucije napad su otkrile u travnju, a on je bio započeo nekoliko mjeseci prije toga. Malware SilentTrinity do ovog napada bio je nepoznat, a stručnjaci sumnjaju kako je riječ o državno sponzoriranim phishing napadima koji se mogu povezati sa sličnima, ranije viđenima u izvedbi ruskih hakera. Za sada nije poznato koliko su napadači bili uspješni u svojim naumima.
Nema komentara:
Objavi komentar
Poruka će biti vidljiva nakon provjere.