Das polnische CERT schreibt in einem Bericht über eine groß angelegte Malware-Kampagne gegen polnische Regierungseinrichtungen. Die technischen Indikatoren des Angriffs deuten auf Verbindungen zum russischen Cyberakteur APT 28 hin. Erst vergangene Woche hatte die deutsche Bundesregierung in einer Pressemitteilung über Cyberangriffe von APT 28 auf die SPD-Parteizentrale, deutsche Unternehmen sowie Stiftungen und Verbände berichtet. Die Analyse des polnischen CERT passt in dieses Bild. Der Verfassungsschutzverbund rechnet die Gruppe dem russischen Militärnachrichtendienst GRU zu.
Bei dem jüngsten Cyberangriff auf polnische Einrichtungen versandte der Angreifer Spear-Phishing-E-Mails, um das Opfer zum Anklicken eines Links zu verleiten. Nach eben diesem Anklicken des Links wurde das Opfer zunächst auf die Domain run.mocky[.]io weitergeleitet. Danach erfolgte eine automatische Weiterleitung auf die Webseite webhook[.]site. Von dieser Seite erfolgte der Download einer ZIP-Archivdatei, die schädliche Dateien enthielt. Beim Ausführen der Datei wurde eine schadhafte DLL-Datei im Hintergrund geladen, die wiederum ein Batch-Skript startete. In der Folge wurden Informationen über den kompromittierten Computer (IP-Adresse und Dateiliste) an einen C2-Server der Angreifer gesendet. Diese Angriffstechnik wird auch als DLL-Side-Loading bezeichnet.
Der Bericht des polnischen CERT beschreibt den Angriff im Detail und liefert Indicators of Compromise. APT 28 ist in der Vergangenheit mehrfach mit Cyberangriffen auch gegen deutsche Stellen in Erscheinung getreten. Die Cyberabwehr des Landesamtes für Verfassungsschutz rät daher dringend, die eigenen Systeme anhand der bereitgestellten IOCs zu überprüfen und eine mögliche Betroffenheit den Sicherheitsbehörden zu melden.