Atakujący wysyłają do jednostek samorządu terytorialnego spreparowane wiadomości imitujące oficjalną komunikację Ministerstwa Cyfryzacji. Pierwsza z wiadomości, wysłana 28.10.2025, zawierała szkodliwy plik arkusza kalkulacyjnego XLSX. Umieszczono w niej link do pliku rzekomo zawierającego dodatkowe informacje – w rzeczywistości był to złośliwy plik wykonywalny, który po uruchomieniu infekował hosta.
30.10.2025 miała miejsce kolejna wysyłka. Tym razem fałszywa wiadomość nie zawierała szkodliwego załącznika, lecz bazowała na socjotechnice – jej celem było wyłudzenie danych osób odpowiedzialnych za bezpieczeństwo teleinformatyczne w danej organizacji.
IoC:
– govministry.pl
– security@govministry.pl – adres nadawcy wiadomości
– gov.pl – tytuł wiadomości ze szkodliwym załącznikiem
– Pilna weryfikacja kontaktów w ramach Krajowego Programu Cyberbezpieczeństwa 2024-2028 – tytuł szkodliwej wiadomości
– 45.61.149.41:443 – adres serwera C2 szkodliwego oprogramowania
Skróty SHA-256 plików z kampanii:
– ba58c0f03af5f266d3f69ad74b177177f587a6dd7e33241ae55d9c07f7050773 database_part.xlsx
– 3248ee3a6b9b03f13fc7b39c9214153dbd462ce00110357cf791d2c49f3b5666 database.хlsх.exe
– 7f126df993b1200c6df310c33d14bdebaa7d6184e61bdb78bebc58f05afcde0a cleaner.exe
– 99bf9020d85bbd2cd14feaddd3d1f55daecee672ce7e2cd9e7ceef09f02419a3 Full Database 2025.xlsx
Rekomendacje
- Weryfikacja logów pod kątem powyższych IoC.
- W przypadku wykrycia – zgłoszenie incydentu do właściwego CSIRT-u poziomu krajowego.
- W przypadku uruchomienia szkodliwego pliku – bezzwłoczne odizolowanie maszyny.
Zrzuty ekranów z fałszywych wiadomości:
