Hrvatska pošta već je pokrenula korake za uklanjanje zlonamjernih internetskih stranica i poslužitelja, no trenutačno su obje inačice aktivne navode iz Zavoda za sigurnost informacijskih sustava
Tajanstvena hakerska skupina iza napada na Hrvatsku poštu
Zavod za sigurnost informacijskih sustava na svojim stranicama objavio je nedavno priopćenje o phishing kampanji koja se najvjerojatnije širi preko elektroničke pošte, a meta je bila Hrvatska pošta.
U priopćenju navode:
U tijelu poruke elektroničke pošte nalazi se poveznica na zlonamjernu stranicu hxxps://postahr.vip/. Protokol https je promijenjen kako bi se izbjeglo nenamjerno posjećivanje, a stranica se nalazi na IP adresi 93.170.105.32 na dediciranom poslužitelju u Nizozemskoj.
Na navedenoj stranici nalazi se sadržaj preuzet sa službenih stranica Hrvatske pošte, a odmah po posjećivanju stranice korisniku se nudi preuzimanje datoteke obavijest_o_posiljki.xls.
Do sada su poznate dvije inačice navedene datoteke.
Prva inačica predstavlja SILENTTRINITY zlonamjerni program koji se izvršava u memoriji računala i komunicira sa zlonamjernim poslužiteljem na adresi hxxps://176.105.255.59:8089. Zlonamjerni program dohvaća se putem SMB protokola.
Druga inačica predstavlja Powershell Empire zlonamjerni program koji se preuzima s adrese hxxps://posteitaliane.live/owa/mail/drafts.srf.
Hrvatska pošta već je pokrenula korake za uklanjanje zlonamjernih internetskih stranica i poslužitelja, no trenutačno su obje inačice aktivne. Zlonamjernim programom napadači mogu preuzeti kontrolu nad računalom i izvoditi proizvoljne naredbe pod ovlastima korisnika koji je otvorio XLS datoteku i omogućio izvršavanje makro naredbi.
ZDNet piše kako je tajanstvena hakerska skupina iza napada te da je on trajao od veljače do travnja kad je i otkriven te da iza hakera stoji neka država. Ističe se kako se između servera i ranijih napada mogu vidjeti određene veze u serverima. Spominje se napad u kojem su hakeri iskoristili WinRAR propust kako bi zarazili ukrajinske državne službe koristeći program Empire i isti server.