CERT Polska ostrzega przed Ghostwriter

63
fot. Pixabay

Grupa UNC1151/Ghostwriter powiązana z Białorusią od ponad roku atakuje skrzynki mailowe osób w Polsce. Zespół CERT Polska przygotował przewodnik po metodach tej grupy hakerskiej, by łatwiej było się przed nimi chronić.

Zespół CERT Polska działa w strukturach NASK – Państwowego Instytutu Badawczego. Bada cyberzagrożenia pojawiające się w internecie i ostrzega przed nimi użytkowników sieci. Tym razem rozpracował grupę UNC1151/Ghostwriter.

Jedną z metod ataku grupy UNC1151 jest wysyłanie maili phishingowych. Wysyłane są ze skrzynek pocztowych na portalach ofiar, by uśpić ich czujność i nakłonić do podawania danych.
Te adresy to:
– uslugi.pocztowe@wp.pl,
– emails.potwierdzenia@interia.pl,
– walidacja.uzytkownika@op.pl,
– kontrola.konta@o2.pl,
– zespol.firewall@gmail.com.

Maile otrzymane z tych adresów powinny wzbudzić naszą czujność. Najczęściej w ich treści pojawia się informacja o konieczności weryfikacji. Jej powody są bardzo różne i pojawiają sięw tytułach takich maili. Może to być:
– Złamanie warunków serwisu i konieczność weryfikacji tożsamości,
– Wykrycie wysyłki spamu z konta i konieczność weryfikacji tożsamości,
– Konieczność potwierdzenia własności skrzynki.

Najczęściej mail zawierał link, który kierował bezpośrednio na stronę phishingową utworzoną przez hakerów z UNC1151. W ciągu roku powstało prawie 100 takich domen dedykowanych ofiarom polskojęzycznym. Każdy z linków ma też unikalny parametr, co pozwala cyberprzestępcom śledzić skuteczność działań w przypadku każdej ofiary osobno.

W okresie od czerwca 2021 do stycznia 2022 grupa posługiwała się również przejmowanymi stronami internetowymi. Pod dedykowanymi ścieżkami na nich hakerzy umieszczali przekierowania do phishingu. Podawany w mailu adres przejętej strony pozwalał na wykorzystanie jej wieloletniej reputacji, by łatwiej było oszukać ofiary.

Więcej informacji i dokładny opis działania hakerów w raz z przykładami znajdują się na stronie CERT Polska.