Célzott támadás a Lengyelország ellen
Egy valószínűleg Fehérorosz állami hátterű csoport (UNC1151) új kampányt indított Lengyelország ellen, a támadók egy deklaracja.chm downloaderrel próbálkoztak, amelyet álcázott levélben küldtek ki lengyel közintézményeknek. A fájl kicsomagolása után egy elsődleges payload töltődik le, amely lehetővé teszi a további malware‑letöltést és adatlopást. A kampány mérsékelt erejű, de célzott jellegű, elsősorban állami és kritikus infrastruktúrákat céloznak, hogy hiteles hozzáférésre tegyenek szert, ezzel információkat gyűjtsenek és hosszú távú jelenlétet biztosítsanak. A csoport TTP‑i (technikái) azt sugallják, hogy a támadást valószínűleg Belarusz hírszerzési szervezetei támogatják.
A lengyel CERT-ek és nemzetközi együttműködés keretében valószínűsíthetően már megkezdték a behatolások felderítését. A felderítés során azonosították az egyedi CHM‑fájlt (deklaracja.chm), a hozzá kapcsolódó downloader mechanizmust, valamint a további malware‑modulok lehetséges forrásait.
Ez az eset újabb jele annak, hogy Belarusz aktív kibertámadási kampányokat folytat országokban gazdasági, diplomáciai vagy geostratégiai érdekek mentén. Lengyelország tehát újabb állami szintű kibertámadás áldozata lett, mely jelezheti a régióban folyamatosan erősödő kibervetélkedést. A javasolt védekezés során érdemes szűrni az ismeretlen CHM‑fájlok megnyitását, monitorozni a hálózati forgalmat rendkívüli C2‑címekután, és erősíteni a végpontvédelmet a downloader‑típusú visszafordító kódok felismerésére. Emellett a patch‑menedzsment és a biztonsági tudatosság is kritikus, hogy a hasonló támadási vektorok ne érhessék el a rendszerekhez való hozzáférést.
