Nepoznata hakerska grupa izvršila je, po svoj prilici uspešno, seriju napada na zaposlene u hrvatskoj vladi između februara i aprila. Pretpostavlja se da su u pitanju državno sponzorisani napadi, izvršeni spear-phishing metodom. Žrtvama su stizale lažne notifikacije o isporuci od pošte i drugih servisa. U spear-phishing porukama se nalazio link ka sajtu koji izgleda kao legitimni, a od korisnika je traženo da preuzmu Excel dokument.

Slika 1. Maliciozni Excel dokument. Izvor slike: Positive Hack Days.

U Excel dokumentu se nalazila maliciozna macro skripta koja je u najvećoj meri kopirana sa interneta iz različitih tutorijala i open source projekata na sajtovima StackOverflow.com, Dummies.com, Issuu.com, Rastamouse.me i GitHub.com. Ukoliko žrtva omogući macro skriptu, dolazi do instaliranja malvera. U napadima su detektovana dva različita payloada. Prvi je Empire backdoor, a drugi SilentTrinity. Ovo je prvi put da je SilentTrinity korišćen u aktivnoj kampanji distribucije malvera.

Slika 2. Izgled malicioznog Excel dokumenta nakon što žrtva omogući macro komande. Izvor slike: Positive Hack Days.

Zavod za bezbednost informacionih sistema (ZSIS), telo zaduženo za sajber bezbednost u Hrvatskoj, otkrio je napade početkom aprila.

U najnovijem izveštaju navodi se da su otkrivene veze između C&C servera korišćenih u ovoj kampanji i nekih ranijih malicioznih operacija. U akciji u kojoj je eksploatisana WinRAR ranjivost za napad na mete u Ukrajini upotrebljen je isti Empire backdoor i isti C&C server. Iako nije otkriveno ko stoji iza napada u Ukrajini, glavni osumnjičeni su ruske hakerske grupe.

Jedno je sigurno - dostupne informacije o hostovima, adresama i domenima, kao i veći broj zajedničkih imenitelja, govore da su obe kampanje deo velike, dobro organizovane maliciozne operacije.

Izvor: ZD net