Grupa UNC1151/Ghostwriter pozostaje jedną z najbardziej aktywnych grup APT spośród obserwowanych przez zespół CERT Polska. Od wielu lat regularnie przeprowadza ona kampanie phishingowe w celu uzyskania dostępu do skrzynek pocztowych polskich obywateli. Przejęte skrzynki są następnie przeszukiwane pod kątem interesujących z punktu atakujących informacji, takich jak lista kontaktowa (do typowania dalszych celów kampanii), wrażliwe dokumenty czy powiązane konta (np. w mediach społecznościowych), które można przejąć z ich dalszym wykorzystaniem.
W minionych latach atakujący skupiali się na użytkownikach korzystających z usług polskich dostawców poczty elektronicznej, takich jak Onet, Wirtualna Polska czy Interia. Od marca 2026 roku grupa zaczęła realizować kampanie phishingowe ukierunkowane na użytkowników poczty Gmail. Są one prowadzone z dużą intensywnością, przede wszystkim w dni robocze. Warto zaznaczyć, że wyłudzany jest również drugi składnik logowania. W ostatnich tygodniach nasz zespół prawie codziennie obserwował nowe domeny wykorzystywane w atakach.
Zakres osób pozostających w kręgu zainteresowania UNC1151 jest bardzo szeroki. Grupa atakuje osoby zaangażowane w życie polityczne, aktywne społecznie, zajmujące eksponowane stanowiska, naukowców, dziennikarzy, pracowników administracji publicznej i służb mundurowych, a także inne osoby powiązane z nimi poprzez relacje rodzinne lub towarzyskie. Atakujący nie zawsze wiedzą do kogo należy skrzynka pocztowa, na którą wysyłają wiadomości phishingowe. Czasami próbują odgadnąć adres osoby będącej celem ataku, w rezultacie czego szkodliwe wiadomości z powodu zbieżności imion i nazwisk trafiają do przypadkowych osób. Obserwujemy też, że kampanie są niekiedy ukierunkowane na organizacje z konkretnego rejonu kraju lub osoby pełniące określone funkcje, np. tłumaczy czy biegłych sądowych.
Przykładowe adresy mailowe oraz tytuły złośliwych wiadomości:
| Nazwa nadawcy | Adres email | Tytuł wiadomości |
|---|---|---|
| Mail Secure | [email protected] | Krytyczny alert |
| Mailer Notification | [email protected] | Wykryto próbę logowania z nowego urządzenia |
| Support Security | [email protected] | Alert bezpieczeństwa |
| monitoring konta | [email protected] | Podejrzaną aktywność |
| Zespół Poczty | [email protected] | Możemy zablokować konto |
| Zespół Poczty | [email protected] | Możemy zablokować konto |
| Support Security | [email protected] | Ważna weryfikacja dostępu |
Schemat oszustwa
Grupa UNC1151 dociera do potencjalnych ofiar poprzez fałszywe wiadomości mailowe, które mają imitować oficjalne komunikaty wysyłane przez administratorów poczty Gmail. Zazwyczaj wiadomości są wysyłane ze specjalnie założonych kont w Gmail. Sporadycznie obserwujemy wykorzystanie w tym celu przejętych skrzynek pocztowych - wówczas atakujący zmieniają wyświetlaną nazwę nadawcy. Wiadomości są w języku polskim, bez rażących błędów językowych i zazwyczaj informują o wykryciu podejrzanej aktywności na koncie, nieuprawnionym logowaniu lub naruszeniu regulaminu usług i nakłaniają do weryfikacji problemu pod groźbą blokady lub nieodwracalnego usunięcia konta. Do wiadomości załączony jest link, który zazwyczaj bezpośrednio prowadzi do spreparowanej strony imitującej panel logowania do poczty Gmail. Bardzo często zamiast zaadresować szkodliwą wiadomość bezpośrednio do ofiary, atakujący wykorzystują mechanizm UDW (ukryte do wiadomości, ang. BCC - Blind Carbon Copy) - przykład poniżej.
Fałszywa witryna wyświetla się ofierze w języku polskim. Na przestrzeni miesięcy ulegała ona nieznacznym modyfikacjom. Imitując proces logowania wyłudza ona adres mailowy oraz hasło do konta. Istotnym rozwinięciem możliwości atakujących względem wcześniejszych kampanii ukierunkowanych na użytkowników polskich dostawców poczty elektronicznej jest zdolność wyłudzania kodu dwuskładnikowego uwierzytelnienia. Gdy ofiara poda dane uwierzytelniające, atakujący automatycznie podejmują próbę logowania się na jej konto. W momencie wykrycia, że wymagane jest podanie dodatkowego kodu uwierzytelniającego, fałszywa strona wyświetla stosowny formularz, prosząc o jego przekazanie. Mechanizm ten pozwala na wyłudzenie zarówno kodów przesyłanych na numer telefonu, jak i generowanych w aplikacji typu Google Authenticator.
Atakujący bardzo często ponawiają ataki na te same konta, niezależnie od tego czy potencjalna ofiara podjęła interakcję z fałszywą stroną. Niekiedy szkodliwe wiadomości są wysyłane z dużą intensywnością (kilka w przeciągu dwóch dni), co ma na celu wzmocnienie presji i utrudnia zignorowanie sprawy. Czasami kolejne wiadomości są niemal identyczne w treści, a jedynie czas na reakcję przed rzekomą blokadą jest coraz krótszy (widać to na przykładzie poniżej). Jeżeli pomimo pozyskania danych uwierzytelniających atakującym nie uda się zalogować do konta ofiary, wówczas wysyłają kolejną spreparowaną wiadomość.
Z naszych obserwacji wynika, że w kampanii ukierunkowanej na użytkowników poczty Gmail szkodliwe linki zamieszczane w wiadomościach wysyłanych do ofiar nie są unikalne, a wiadomości zazwyczaj nie zawierają elementów umożliwiających śledzenie ich odczytania.
Przykłady wiadomości phishingowych
Poniżej zamieszczono przykładowe wiadomości phishingowe dystrybuowane w ramach kampanii phishingowych. Czerwoną elipsą zaznaczono link, który przenosi do fałszywego panelu logowania.
Wiadomość zaadresowana bezpośrednio
Wiadomość wysłana z wykorzystaniem mechanizmu ukrytej kopii/BCC
Wiadomość wysłana z przejętego konta
Przykładowe kolejne wiadomości wysłane do tego samego odbiorcy
Przebieg wyłudzenia
Poniżej zamieszczono kolejne etapy wyłudzenia po przeniesieniu na fałszywy panel logowania - sygnałem alarmowym powinna być niewłaściwa domena w pasku adresu.
Landing page/strona główna
Wyłudzenie hasła
Wyłudzenie drugiego składnika uwierzytelnienia
Infrastruktura
Grupa UNC1151 w swoich kampaniach dynamicznie zmienia stosowane techniki. Na przestrzeni ostatnich trzech miesięcy do działań phishingowych wykorzystywane były zarówno domeny rejestrowane specjalnie na potrzeby phishingu (często w TLD .icu, .digital oraz .top), jak i subdomeny zakładane u dostawców umożliwiających publikację własnych stron (najczęściej wykorzystane były subdomeny w *.netlify.app). Atakujący tworzą nazwy domenowe w taki sposób, aby były spójne z treścią szkodliwych wiadomości oraz adresami mailowymi wykorzystywanymi do ich dystrybucji. Do hostowania fałszywych paneli logowania grupa wykorzystywała też przejęte strony internetowe (np. w wyniku wykorzystania podatności), najczęściej należące do polskich podmiotów. Jak zwykle w tego typu zdarzeniach, włamywacze nie podmieniali strony głównej zaatakowanego serwisu, dzięki czemu incydent pozostawał niezauważalny dla zwyczajnych użytkowników i właścicieli witryny.
Przykładowe domeny wykorzystywane w kampanii
| Typ | Domena |
|---|---|
| Dedykowana domena | mailverify.digital |
| Dedykowana domena | check-mail-verify.biz |
| Dedykowana domena | verify-check.digital |
| Nadużycie usługi Netlify | monitoring-google-konta.netlify.app |
| Nadużycie usługi Netlify | konta-24weryfikacja.netlify.app |
| Nadużycie usługi Netlify | service-auth.netlify.app |
Podsumowanie
Ataki na pocztę Gmail prowadzone przez grupę UNC1151 w takiej skali są nowością, natomiast motyw przewodni używanych wiadomości, jak i cel pozostają takie same. Należy podkreślić, że chociaż intensywność wcześniej obserwowanych kampanii UNC1151 wymierzonych w użytkowników polskich serwisów pocztowych (WP, Onet, Interia) w ostatnim czasie zmalała, to nie oznacza to, że grupa całkowicie zaprzestała takich ataków. Polecamy zapoznanie się z przygotowanym przez nasz zespół artykułem gdzie na przykładzie różnych kampanii omówiliśmy ewolucję technik i metod działania UNC1151 w czasie.
W obliczu działań grupy UNC1151 mocno zachęcamy do zapoznania się z naszym poradnikiem bezpiecznego użytkowania poczty elektronicznej i mediów społecznościowych oraz podzielenia się tą publikacją z bliskimi. Świadomość zagrożenia jest kluczowa, ponieważ ataki najprawdopodobniej będą udoskonalane i kontynuowane - nie da się ich całkowicie wyeliminować wyłącznie środkami technicznymi.
Zachęcamy również do zgłaszania wszelkich podejrzanych stron przez formularz na stronie incydent.cert.pl - dzięki przekazywanym informacjom możemy lepiej śledzić i zwalczać pojawiające się zagrożenia.
