Zavod za sigurnost informacijskih sustava na svojim stranicama objavio je nedavno priopćenje o phishing kampanji koja se najvjerojatnije širi preko elektroničke pošte, a meta je bila Hrvatska pošta.
U priopćenju navode:
U tijelu poruke elektroničke pošte nalazi se poveznica na zlonamjernu stranicu hxxps://postahr.vip/. Protokol https je promijenjen kako bi se izbjeglo nenamjerno posjećivanje, a stranica se nalazi na IP adresi 93.170.105.32 na dediciranom poslužitelju u Nizozemskoj.
Na navedenoj stranici nalazi se sadržaj preuzet sa službenih stranica Hrvatske pošte, a odmah po posjećivanju stranice korisniku se nudi preuzimanje datoteke obavijest_o_posiljki.xls.
Do sada su poznate dvije inačice navedene datoteke.
Prva inačica predstavlja SILENTTRINITY zlonamjerni program koji se izvršava u memoriji računala i komunicira sa zlonamjernim poslužiteljem na adresi hxxps://176.105.255.59:8089. Zlonamjerni program dohvaća se putem SMB protokola.
Druga inačica predstavlja Powershell Empire zlonamjerni program koji se preuzima s adrese hxxps://posteitaliane.live/owa/mail/drafts.srf.
Hrvatska pošta već je pokrenula korake za uklanjanje zlonamjernih internetskih stranica i poslužitelja, no trenutačno su obje inačice aktivne. Zlonamjernim programom napadači mogu preuzeti kontrolu nad računalom i izvoditi proizvoljne naredbe pod ovlastima korisnika koji je otvorio XLS datoteku i omogućio izvršavanje makro naredbi.
ZDNet piše kako je tajanstvena hakerska skupina iza napada te da je on trajao od veljače do travnja kad je i otkriven te da iza hakera stoji neka država. Ističe se kako se između servera i ranijih napada mogu vidjeti određene veze u serverima. Spominje se napad u kojem su hakeri iskoristili WinRAR propust kako bi zarazili ukrajinske državne službe koristeći program Empire i isti server.