{"id":4429,"date":"2023-07-19T11:04:36","date_gmt":"2023-07-19T10:04:36","guid":{"rendered":"https:\/\/soc.dag.pl\/?p=4429"},"modified":"2023-08-30T16:31:06","modified_gmt":"2023-08-30T15:31:06","slug":"hakerzy-atakuja-znanych-urzednikow-panstwowych-w-europie","status":"publish","type":"post","link":"https:\/\/soc.dag.pl\/hakerzy-atakuja-znanych-urzednikow-panstwowych-w-europie\/","title":{"rendered":"Hakerzy atakuj\u0105 znanych urz\u0119dnik\u00f3w pa\u0144stwowych w Europie"},"content":{"rendered":"<p>Wieloetapowa kampania hackerska, skierowana na urz\u0119dnik\u00f3w pa\u0144stwowych Europy Wschodniej (w tym Polski) i Azji Zachodniej.<\/p>\n<p>&nbsp;<\/p>\n<p>W styczniu 2022 r. zidentyfikowano wieloetapow\u0105 kampani\u0119 szpiegowsk\u0105 skoncentrowan\u0105 na konta wysokich rang\u0105 urz\u0119dnik\u00f3w pa\u0144stwowych Europy Wschodniej, a tak\u017ce Azji Zachodniej. \u0141a\u0144cuch infekcji rozpocz\u0105\u0142 si\u0119 od uruchomienia spreparowanego pliku Excel, stanowi\u0105cego downloader dla kolejnych obiekt\u00f3w, najprawdopodobniej wys\u0142anego do ofiary za po\u015brednictwem poczty elektronicznej.<\/p>\n<p>&nbsp;<\/p>\n<p>Plik ten wykorzystuje luk\u0119 MSHTML w zakresie zdalnego wykonywania kodu (CVE-2021-40444). Dzi\u0119ki temu dochodzi do odpalenia z\u0142o\u015bliwego pliku wykonywalnego w pami\u0119ci. W ataku wykorzystano tak\u017ce element z\u0142o\u015bliwego oprogramowania o nazwie Graphite &#8211; wykorzystuj\u0105cy<\/p>\n<p>Graph API Microsoftu, a przez to umo\u017cliwiaj\u0105cy pos\u0142ugiwanie si\u0119 us\u0142ug\u0105 OneDrive jako centrum dowodzenia i kontroli. Ca\u0142o\u015bci operacji dope\u0142nia\u0142 serwer Empire, kt\u00f3ry zosta\u0142 przygotowany w<\/p>\n<p>lipcu 2021 roku. Kampania hakerska ruszy\u0142a za\u015b od pa\u017adziernika do listopada 2021 roku.<\/p>\n<p>&nbsp;<\/p>\n<p>Polska i inne kraje Europy Wschodniej by\u0142y ju\u017c wcze\u015bniej przedmiotem zainteresowania os\u00f3b stoj\u0105cych za t\u0105 kampani\u0105. Pe\u0142na wiktymologia atakuj\u0105cych nie jest znana. Na podstawie nazw, zawarto\u015bci z\u0142o\u015bliwych plik\u00f3w Excel i telemetrii Group-IB, uda\u0142o si\u0119 ustali\u0107, \u017ce celem s\u0105 kraje Europy Wschodniej i Azji Zachodniej, a atak wymierzony by\u0142 g\u0142\u00f3wnie w sektory obronno\u015bci i polityk\u00f3w rz\u0105dz\u0105cych frakcji.<\/p>\n<p>&nbsp;<\/p>\n<p>Nasze produkty wykrywaj\u0105 wy\u017cej opisane zagro\u017cenia, a w razie potrzeby wysy\u0142aj\u0105 odpowiednie komunikaty o naruszeniu zabezpiecze\u0144. Zakup kt\u00f3regokolwiek z naszych pakiet\u00f3w nie tylko podnosi bezpiecze\u0144stwo firmy, lecz tak\u017ce daje dost\u0119p do pe\u0142nej wersji tego oraz innych specjalistycznych artyku\u0142\u00f3w z tematyki cyberbezpiecze\u0144stwa, zamieszczonych w konsoli XDR.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Wieloetapowa kampania hackerska, skierowana na urz\u0119dnik\u00f3w pa\u0144stwowych Europy Wschodniej (w tym Polski) i Azji Zachodniej. &nbsp; W styczniu 2022 r. zidentyfikowano wieloetapow\u0105 kampani\u0119 szpiegowsk\u0105 skoncentrowan\u0105 na konta wysokich rang\u0105 urz\u0119dnik\u00f3w pa\u0144stwowych Europy Wschodniej, a tak\u017ce Azji Zachodniej. \u0141a\u0144cuch infekcji rozpocz\u0105\u0142 si\u0119 od uruchomienia spreparowanego pliku Excel, stanowi\u0105cego downloader dla kolejnych obiekt\u00f3w, najprawdopodobniej wys\u0142anego do ofiary [&hellip;]<\/p>\n","protected":false},"author":4,"featured_media":3348,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[57,18],"tags":[79],"class_list":["post-4429","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-cyber-security","category-hacking","tag-cyberochrona"],"_links":{"self":[{"href":"https:\/\/soc.dag.pl\/wp-json\/wp\/v2\/posts\/4429"}],"collection":[{"href":"https:\/\/soc.dag.pl\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/soc.dag.pl\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/soc.dag.pl\/wp-json\/wp\/v2\/users\/4"}],"replies":[{"embeddable":true,"href":"https:\/\/soc.dag.pl\/wp-json\/wp\/v2\/comments?post=4429"}],"version-history":[{"count":1,"href":"https:\/\/soc.dag.pl\/wp-json\/wp\/v2\/posts\/4429\/revisions"}],"predecessor-version":[{"id":4430,"href":"https:\/\/soc.dag.pl\/wp-json\/wp\/v2\/posts\/4429\/revisions\/4430"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/soc.dag.pl\/wp-json\/wp\/v2\/media\/3348"}],"wp:attachment":[{"href":"https:\/\/soc.dag.pl\/wp-json\/wp\/v2\/media?parent=4429"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/soc.dag.pl\/wp-json\/wp\/v2\/categories?post=4429"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/soc.dag.pl\/wp-json\/wp\/v2\/tags?post=4429"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}