Uwaga! Ostrzegamy przed kampanią podszywającą się pod Ministerstwo Cyfryzacji.
Atakujący wysyłają do jednostek samorządu terytorialnego spreparowane wiadomości imitujące oficjalną komunikację Ministerstwa Cyfryzacji.
Pierwsza z wiadomości, wysłana 28.10.2025, zawierała szkodliwy plik arkusza kalkulacyjnego XLSX. Umieszczono w nim link do pliku rzekomo zawierającego dodatkowe informacje - w rzeczywistości był to złośliwy plik wykonywalny, który po uruchomieniu infekował hosta.
30.10.2025 miała miejsce kolejna wysyłka. Tym razem fałszywa wiadomość nie zawiera szkodliwego załącznika, lecz bazuje na socjotechnice - jej celem jest wyłudzenie danych osób odpowiedzialnych za bezpieczeństwo teleinformatyczne w danej organizacji.
IoC:
govministry[.]pl
security@govministry[.]pl - adres nadawcy wiadomości
gov.pl - tytuł wiadomości ze szkodliwym załącznikiem
Pilna weryfikacja kontaktów w ramach Krajowego Programu Cyberbezpieczeństwa 2024-2028 - tytuł szkodliwej wiadomości
45.61.149.41:443 - adres serwera C2 szkodliwego oprogramowania
Pliki:
database_part.xlsx (hash SHA256: ba58c0f03af5f266d3f69ad74b177177f587a6dd7e33241ae55d9c07f7050773)
database.хlsх.exe (hash SHA256: 3248ee3a6b9b03f13fc7b39c9214153dbd462ce00110357cf791d2c49f3b5666)
cleaner.exe (hash SHA256: 7f126df993b1200c6df310c33d14bdebaa7d6184e61bdb78bebc58f05afcde0a)
Full Database 2025.xlsx (hash SHA256: 99bf9020d85bbd2cd14feaddd3d1f55daecee672ce7e2cd9e7ceef09f02419a3)
Rekomendacje
Weryfikacja logów pod kątem powyższych IoC.
W przypadku wykrycia - zgłoszenie incydentu do właściwego CSIRT-u poziomu krajowego.
W przypadku uruchomienia szkodliwego pliku - bezzwłoczne odizolowanie maszyny.