Operation GriefLure. Wiarygodne dokumenty, pliki LNK i RAT w spear phishingu

Operation GriefLure. Wiarygodne dokumenty, pliki LNK i RAT w spear phishingu

2026-05-08

TL;DR

Operation GriefLure pokazuje bardzo niewygodną prawdę o spear phishingu: czasem najgroźniejsza przynęta wygląda jak realna część pracy. Może to być autentyczny dokument, wiarygodna skarga, materiał prawny, raport, zawiadomienie albo paczka plików, którą odbiorca ma zawodowy powód otworzyć.

W tej kampanii załącznik nie był zwykłym dokumentem. W archiwum znajdowały się dokumenty pełniące rolę przynęty oraz złośliwy plik LNK, czyli skrót systemu Windows. Po jego uruchomieniu nadużywany był legalny systemowy ftp.exe, fragmenty payloadu były składane na komputerze ofiary, a modularny RAT przejmował możliwość kradzieży danych, wykonywania poleceń, zbierania informacji o systemie i robienia zrzutów ekranu.

(To dalsza treść artykułu wg wklejonego materiału.)

Najczęstsze pytania

Czym jest RAT?

RAT, czyli Remote Access Trojan, to złośliwe oprogramowanie dające atakującemu zdalną kontrolę lub wgląd w komputer ofiary. Może kraść dane, wykonywać polecenia, robić zrzuty ekranu i pobierać kolejne moduły.

Czym jest plik LNK?

LNK to skrót systemu Windows. Może wyglądać jak odnośnik do dokumentu, ale po uruchomieniu może wykonywać polecenia, uruchamiać skrypty albo pobierać kolejne elementy ataku.

Dlaczego plik LNK w archiwum jest niebezpieczny?

Plik LNK może wyglądać jak skrót do dokumentu, ale po uruchomieniu wykonuje polecenia w systemie. W kampaniach phishingowych bywa używany do startu skryptów, loaderów i malware.

Czy plik PDF otwarty po uruchomieniu załącznika oznacza, że wszystko jest bezpieczne?

Nie. W Operation GriefLure dokument PDF otwierał się jako przynęta, aby użytkownik miał wrażenie, że uruchomił normalny plik. W tle malware wykonywał kolejne działania.

Czy prawdziwy dokument w załączniku oznacza, że wiadomość jest bezpieczna?

Nie. Autentyczny lub bardzo wiarygodny dokument może służyć jako przynęta, której celem jest skłonienie odbiorcy do uruchomienia innego pliku, na przykład skrótu LNK, skryptu albo instalatora.

Co zrobić, jeśli uruchomiono podejrzany plik LNK?

Nie należy dalej pracować na tym komputerze ani próbować samodzielnie usuwać plików. Trzeba zgłosić incydent do IT lub Security, odizolować urządzenie zgodnie z procedurą organizacji i zachować wiadomość oraz załącznik do analizy.

Źródła

  1. Seqrite - Operation GriefLureŹródło pierwotne, techniczna analiza kampanii, łańcucha infekcji, dokumentów-przynęt, plików LNK, RAT-a i IOC
  2. GBHackers - Modular RAT Campaign Steals Credentials and Captures ScreenshotsStreszczenie kampanii Operation GriefLure na podstawie analizy Seqrite Labs