Ostrzegamy przed kampanią podszywającą się pod Ministerstwo Cyfryzacji

Atakujący wysyłają do jednostek samorządu terytorialnego spreparowane wiadomości imitujące oficjalną komunikację Ministerstwa Cyfryzacji. Pierwsza z wiadomości, wysłana 28.10.2025, zawierała szkodliwy plik arkusza kalkulacyjnego XLSX. Umieszczono w niej link do pliku rzekomo zawierającego dodatkowe informacje – w rzeczywistości był to złośliwy plik wykonywalny, który po uruchomieniu infekował hosta.

30.10.2025 miała miejsce kolejna wysyłka. Tym razem fałszywa wiadomość nie zawierała szkodliwego załącznika, lecz bazowała na socjotechnice – jej celem było wyłudzenie danych osób odpowiedzialnych za bezpieczeństwo teleinformatyczne w danej organizacji.

IoC:

govministry.pl

security@govministry.pl – adres nadawcy wiadomości

gov.pl – tytuł wiadomości ze szkodliwym załącznikiem

Pilna weryfikacja kontaktów w ramach Krajowego Programu Cyberbezpieczeństwa 2024-2028 – tytuł szkodliwej wiadomości

45.61.149.41:443 – adres serwera C2 szkodliwego oprogramowania

Skróty SHA-256 plików z kampanii:

ba58c0f03af5f266d3f69ad74b177177f587a6dd7e33241ae55d9c07f7050773 database_part.xlsx

3248ee3a6b9b03f13fc7b39c9214153dbd462ce00110357cf791d2c49f3b5666 database.хlsх.exe

7f126df993b1200c6df310c33d14bdebaa7d6184e61bdb78bebc58f05afcde0a cleaner.exe

99bf9020d85bbd2cd14feaddd3d1f55daecee672ce7e2cd9e7ceef09f02419a3 Full Database 2025.xlsx

Rekomendacje

• Weryfikacja logów pod kątem powyższych IoC.
• W przypadku wykrycia – zgłoszenie incydentu do właściwego CSIRT-u poziomu krajowego.
• W przypadku uruchomienia szkodliwego pliku – bezzwłoczne odizolowanie maszyny.

Zrzuty ekranów z fałszywych wiadomości: