Grupa APT28 zaatakowała polskie instytucje rządowe, co potwierdziły CERT Polska z NASK oraz CSIRT MON. Atak składał się z kilku etapów. Najpierw wysłali oni wiadomości e-mail z linkami prowadzącymi do strony run.mocky.io, a następnie przekierowującymi na serwis webhook.site.

Tam ofiary pobierały fałszywe archiwum ZIP, podszywające się pod zbiór zdjęć, lecz w rzeczywistości było to złośliwe oprogramowanie wykonujące skrypty. Dzięki temu hakerzy uzyskiwali adres IP ofiary oraz listę plików na jej komputerze, co pomagało im ocenić, czy jest to odpowiedni cel dla ataku. Ostatecznie, jeśli ofiara uruchomiła aplikację, APT28 miało swobodę działania wobec niej.

Źródło: instalki.pl