- 19,427
- 40
- 8 Ноя 2022
Шпионы проникают в компьютеры с помощью обычных документов.
SentinelLABS Для просмотра ссылки Войдиили Зарегистрируйся новую волну кибератак на белорусских оппозиционеров, а также на украинских военных и правительственные организации. Кампания готовилась с июля-августа 2024 года и перешла в активную фазу в ноябре-декабре. По данным SentinelLABS, атаки продолжаются до сих пор.
Специалисты связывают активность с группировкой Ghostwriter, которая действует с 2016 года и ранее попадала в отчёты под кодовыми названиями Для просмотра ссылки Войдиили Зарегистрируйся (Mandiant) и UAC-0057 (CERT-UA). Ghostwriter сочетает социальную инженерию с хакерскими атаками, нацеленными на страны Европы.
Новые атаки выявлены в начале 2025 года. Одна из них использует Excel-файл с названием «Политзаключённые (по судам Минска)». Документ распространялся через Google Drive, прикреплённый к письму от адреса vladimir.nikiforeach@gmail[.]com. В документе был макрос, который при открытии загружал стороннюю библиотеку. Вредоносное ПО маскировалось под драйвер Realtek Audio, а его код был обфусцирован с помощью инструмента ConfuserEx.
Второй вредоносный документ «Zrazok.xls» был оформлен под антикоррупционную инициативу украинских госорганов. Файл также содержал макрос, но использовал Macropac— инструмент для скрытия вредоносного кода, популярный среди Для просмотра ссылки Войдиили Зарегистрируйся . После открытия документа загружалась новая вредоносная библиотека, которая подменяла легитимный файл Excel.
Третий вредоносный документ, «Донесення 5 реч - зразок.xls», представлял собой отчёт по поставкам для армии. Его структура аналогична предыдущим: макросы загружают скрытое ПО, которое подключается к серверам злоумышленников.
SentinelLABS также обнаружила несколько аналогичных XLS-файлов, загруженных из Украины в феврале 2025 года. Они содержали схожие механизмы атаки и использовали серверы с доменами в зоне .shop. Особенность атак Ghostwriter в том, что вредоносные компоненты загружаются только при выполнении определённых условий. Например, при совпадении IP-адреса с украинскими диапазонами. В ином случае вместо вредоносного кода загружается безобидное изображение.
Ghostwriter остаётся одной из самых активных кибершпионских группировок в Восточной Европе. Несмотря на усилия по расследованию деятельности, атаки продолжаются и становятся всё более изощрёнными. Специалисты предупреждают, что подобные атаки могут быть нацелены на и другие страны.
SentinelLABS Для просмотра ссылки Войди
Специалисты связывают активность с группировкой Ghostwriter, которая действует с 2016 года и ранее попадала в отчёты под кодовыми названиями Для просмотра ссылки Войди
Новые атаки выявлены в начале 2025 года. Одна из них использует Excel-файл с названием «Политзаключённые (по судам Минска)». Документ распространялся через Google Drive, прикреплённый к письму от адреса vladimir.nikiforeach@gmail[.]com. В документе был макрос, который при открытии загружал стороннюю библиотеку. Вредоносное ПО маскировалось под драйвер Realtek Audio, а его код был обфусцирован с помощью инструмента ConfuserEx.
Второй вредоносный документ «Zrazok.xls» был оформлен под антикоррупционную инициативу украинских госорганов. Файл также содержал макрос, но использовал Macropac— инструмент для скрытия вредоносного кода, популярный среди Для просмотра ссылки Войди
Третий вредоносный документ, «Донесення 5 реч - зразок.xls», представлял собой отчёт по поставкам для армии. Его структура аналогична предыдущим: макросы загружают скрытое ПО, которое подключается к серверам злоумышленников.
SentinelLABS также обнаружила несколько аналогичных XLS-файлов, загруженных из Украины в феврале 2025 года. Они содержали схожие механизмы атаки и использовали серверы с доменами в зоне .shop. Особенность атак Ghostwriter в том, что вредоносные компоненты загружаются только при выполнении определённых условий. Например, при совпадении IP-адреса с украинскими диапазонами. В ином случае вместо вредоносного кода загружается безобидное изображение.
Ghostwriter остаётся одной из самых активных кибершпионских группировок в Восточной Европе. Несмотря на усилия по расследованию деятельности, атаки продолжаются и становятся всё более изощрёнными. Специалисты предупреждают, что подобные атаки могут быть нацелены на и другие страны.
- Источник новости
- www.securitylab.ru
