Zavod za sigurnost informacijskih sustava (ZSIS) upozorio je na ciljanu phishing kampanju koja je uočena u nekoliko državnih tijela pod nadležnošću ZSIS-a. Kampanja se najvjerojatnije širi putem elektroničke pošte, pri čemu se u tijelu poruke nalazi poveznica na zlonamjernu stranicu koja se nalazi na dediciranom poslužitelju u Nizozemskoj. Na navedenoj stranici nalazi se sadržaj preuzet sa službenih stranica Hrvatske pošte, a odmah po posjećivanju stranice, korisniku se nudi preuzimanje datoteke OBAVIJEST_O_POSILJKI.XLS. Navedena datoteka sadržava makro naredbe koje dohvaćaju zlonamjerni sadržaj putem SMB protokola i pokreću ga. Hrvatska pošta je pokrenula korake za uklanjanje zlonamjernih internetskih stranica i poslužitelja te sadržaj na IP adresi 176.105.255.59 više nije dostupan.
S ciljem sprječavanja ugroze i njenog širenja, iz ZSIS-a mole da sve organizacije provedu pretragu svojih sigurnosnih uređaja (firewall, IPS/IDS…) te svojih uređaja za pohranu dnevničkih zapisa, s ciljem utvrđivanja je li u organizaciji bilo uspostava mrežnih veza prema IP adresama 93.170.105.32 i 176.105.255.59, u vremenskom intervalu od 6. veljače do danas. Ako je pretragom utvrđena mrežna komunikacija prema navedenim IP adresama, za radne stanice koje su komunicirale prema tim adresama, potrebno je obaviti pretragu računala za sve korisnike na njima, na sljedeći način: provjeriti postojanje datoteke %localappdata%\microsoft\silent.vbs i provjeriti postojanje ključa HKCU\Software\Microsoft\Windows\CurrentVersion\Run\Updat u registru sustava. Za korisnike koji se koriste navedenim računalima, potrebno je provjeriti primljene poruke elektroničke pošte u potrazi za porukom koja sadržava navedenu poveznicu.
– Ako vaše pretrage ukažu na postojanje spomenutih artefakata (skripte, poruke elektroničke pošte), molimo vas da nam iste hitno dostavite putem elektroničke pošte. U slučaju potrebe za bilo kakvim dodatnim objašnjenjima i informacijama, stojimo na raspolaganju – poručuju iz ZSIS-a.
izvor: Zagorje International