Atakujący wysyłają wiadomości e-mail podszywając się pod ambasady krajów europejskich do wybranych pracowników placówek dyplomatycznych. Korespondencja zawiera zaproszenie na spotkanie lub do współpracy nad dokumentami. W treści wiadomości lub w załączonym dokumencie PDF znajduje się odnośnik do kalendarza ambasadora, szczegółów spotkania lub pliku do pobrania. Jednakże odnośnik prowadzi do fałszywej strony internetowej, na której umieszczony jest skrypt nazywany „ENVYSCOUT”. Skrypt ten wyświetla stronę internetową, która ma na celu przekonanie ofiary, że pobrała prawidłowy załącznik.
Obrazy dysków ISO oraz IMG są automatycznie montowane w systemie plików po otwarciu na komputerach z systemem Windows, a nie zostaje wyświetlone ostrzeżenie, że pliki zostały pobrane z Internetu. Z tego powodu, SKW oraz CERT.PL rekomendują wdrożenie zmian konfiguracyjnych, które uniemożliwią dostarczenie złośliwego oprogramowania używanego w opisywanej kampanii.
W szczególności, podmioty rządowe, organizacje międzynarodowe, organizacje pozarządowe oraz podmioty dyplomatyczne, w tym ministerstwa spraw zagranicznych, ambasady, personel dyplomatyczny oraz pracujący w podmiotach międzynarodowych, powinny rozważyć wdrożenie zaleceń SKW oraz CERT.PL. Wprowadzenie zmian konfiguracyjnych może przerwać mechanizm dostarczenia złośliwego oprogramowania użytego w kampanii.
Rys. 1 Przykładowa wiadomość email podszywająca się pod polską ambasadę i nakłaniająca do kliknięcia w złośliwy link.
Odnośnik kierował do przejętej strony, na której umieszczony był charakterystyczny dla tego aktora skrypt, publicznie opisywany jako „ENVYSCOUT”. Korzysta on z techniki HTML Smuggling – przy jej użyciu złośliwy plik umieszczony na stronie jest odkodowywany przy użyciu skryptu JavaScript w momencie otwarcia strony, a następnie pobierany na urządzenie ofiary. Dzięki temu złośliwy plik jest trudniejszy do wykrycia po stronie serwera, na którym jest przechowywany. Skrypt wyświetlał również stronę internetową, której treść miała na celu utwierdzenie ofiary w przekonaniu, że pobrała prawidłowy załącznik.
W trakcie opisywanej kampanii, zaobserwowano trzy różne wersje narzędzia ENVYSCOUT, stopniowo dodające nowe mechanizmy utrudniające analizę.
Widok po uruchomieniu przez ofiarę pliku obrazu przy domyślnych ustawieniach eksploratora Windows: