UNC1511 taktikák az ukrán Védelmi Minisztérium ellen
A Mandiant Threat Intelligence felfedett egy „Ghostwriter/UNC1151” elnevezésű tartós információs műveletet, amely egy nagyobb befolyásolási kampány része, amely az orosz biztonsági érdekeket támogatja és a NATO-val szembeni kritikus narratívákat népszerűsíti. A legalább 2017 márciusa óta aktív kampány elsősorban az ukrajnai, litvániai, lettországi és lengyelországi közönséget célozza meg, hamis információkat terjesztve kompromittált webhelyeken és hamisított e-mail fiókokon keresztül. A Mandiant szerint a UNC1151 a fehérorosz kormánnyal áll kapcsolatban. A Cyble Research and Intelligence Labs (CRIL) nemrégiben azonosított egy rosszindulatú XLS dokumentumokat használó kampányt. Az ezt követő vizsgálat feltárta a kapcsolatot egy Ukrajnát célzó rosszindulatú szoftverkampánnyal. További elemzések ezt a kampányt az UNC1151 csoporthoz kapcsolták, ami a GhostWriter operatív tevékenységének részeként a fehérorosz kormánnyal való kapcsolatra utal.
A csali dokumentum alapján a csoport az ukrán hadsereget célozza meg megtévesztő Excel munkalapokon keresztül. A fertőzési lánc egy tömörített mellékletet tartalmazó spam e-maillel kezdődhet, amely egy rosszindulatú Excel munkalap dokumentumot tartalmaz. Az Excel-dokumentum futtatásakor beágyazott VBA makró tartalmat futtat, amely egy LNK és egy DLL fájlt dob le. Az LNK fájl végrehajtása elindítja a DLL betöltőt, ami végül a célrendszeren rosszindulatú fertőzéshez vezet.
Az új TTP-változások ebben a kampányban a korábbi módszerekhez képest változást jelentenek. Az előző kampányban a kiberszereplő egy DLL-töltő segítségével töltött le egy titkosított JPG-fájlt, amelyet aztán visszafejtettek, hogy a végső hasznos teher futtatható állományt telepítsék. A legutóbbi kampányban a kiberszereplő valószínűleg egy titkosított SVG fájlt tölt le, amelyet visszafejtve egy másik DLL payload fájlt juttat el a fertőzött rendszerbe. Az elemzés során nem tudtuk visszanyerni a végső hasznos terhet. A végső hasznos teher azonban valószínűleg AgentTeslát, Cobalt Strike jelzőfényeket és njRAT-ot tartalmaz, ahogyan az előző UNC1151 kampányban is.
