上周波兰电脑紧急应变小组CERT Polska（CSIRT NSK）与CSIRT MON联手提出警告，俄罗斯骇客APT28针对该国政府机关从事大规模恶意软体攻击行动。

对方透过钓鱼邮件吸引收信人注意，并点选信中的连结，一旦点选，收信人就会被先重新导向到API测试服务网站run.mocky[.]io，再被引导至Webhook[.]site云端测试服务，下载ZIP压缩档，其内容含有档名为IMG开头的执行档，以及设为隐藏的批次档及DLL程式库。

若是收信人启动执行档，电脑就会侧载骇客的DLL档案，从而执行批次档。此批次档会开启Edge下载另一个存放在Webhook[.]site的批次档案，最终撷取恶意酬载并收集受害电脑资讯。

对此，CERT Polska认为，骇客利用Mocky及Webhook两个网站服务，目的是回避防毒软体侦测，若是企业组织没有采用，应考虑透过边际设备封锁相关网域来因应。