波蘭針對俄羅斯駭客APT28的惡意軟體攻擊提出警告，對方濫用雲端測試服務Mocky、Webhook，企圖迴避偵測

上週波蘭電腦緊急應變小組CERT Polska（CSIRT NSK）與CSIRT MON聯手提出警告，俄羅斯駭客APT28針對該國政府機關從事大規模惡意軟體攻擊行動。

對方透過釣魚郵件吸引收信人注意，並點選信中的連結，一旦點選，收信人就會被先重新導向到API測試服務網站run.mocky[.]io，再被引導至Webhook[.]site雲端測試服務，下載ZIP壓縮檔，其內容含有檔名為IMG開頭的執行檔，以及設為隱藏的批次檔及DLL程式庫。

若是收信人啟動執行檔，電腦就會側載駭客的DLL檔案，從而執行批次檔。此批次檔會開啟Edge下載另一個存放在Webhook[.]site的批次檔案，最終擷取惡意酬載並收集受害電腦資訊。

對此，CERT Polska認為，駭客利用Mocky及Webhook兩個網站服務，目的是迴避防毒軟體偵測，若是企業組織沒有採用，應考慮透過邊際設備封鎖相關網域來因應。