1. Podmioty rządowe;
2. Podmioty dyplomatyczne, ministerstwa spraw zagranicznych, ambasady, personel dyplomatyczny i pracujący w podmiotach międzynarodowych;
3. Organizacje międzynarodowe;
4. Organizacje pozarządowe.

Poniższe zmiany konfiguracyjne mogą posłużyć do przerwania mechanizmu dostarczenia złośliwego oprogramowania użytego w opisywanej kampanii:

1. Zablokowanie możliwości montowanie w systemie plików obrazów dysków. Większość użytkowników wykonujących prace biurowe nie posiada potrzeby pobierania i używania plików ISO lub IMG.
2. Monitorowanie montowania plików obrazów dysków przez użytkowników pełniących role administratorów.
3. Włączenie i konfiguracja reguł Attack Surface Reduction Rules¹⁰.
4. Konfiguracja reguł Software Restrition Policy i zablokowanie możliwości uruchamiania plików wykonywalnych z nietypowych lokalizacji (w szczególności: katalogi tymczasowe, %localappdata% i katalogi podrzędne, nośniki zewnętrzne¹¹).

Załączamy również zbiór wszystkich wskaźników (IoC) powiązanych z opisywaną kampanią, zalecamy weryfikację zbieranych logów systemowych i sieciowych pod kątem ich wystąpienia.

Zapraszamy do pełnego artykułu:

https://www.gov.pl/web/baza-wiedzy/kampania-szpiegowska-wiazana-z-rosyjskimi-sluzbami