Ghostwriter kampány ukrán és belorusz csalikkal
A Ghostwriter egy hosszú ideje tartó kampány, amely valószínűleg 2016 óta aktív, és azóta számos jelentésben ismertették a tevékenységét és a mögötte álló infrastruktúrát is. A Ghostwriter kampányok mögött álló szereplő szorosan kapcsolódik a fehérorosz kormány kémkedési törekvéseihez, miközben leggyakrabban az UNC1151 (Mandiant) vagy az UAC-0057 (CERT-UA) név alatt említik. Egyes jelentések felváltva használják a Ghostwriter-t mind a kiberszereplőre, mind a hozzá kapcsolódó kampányokra.
A Ghostwriter fejlődésével kapcsolatos korábbi kutatások megjegyezték, hogy a szervezet sikeresen működött különböző platformokon, és az információmanipulációt a hackertevékenységgel ötvözve számos európai országot célzott meg. A 2022 és 2024 közötti időszakban készült jelentések olyan tevékenységeket írtak le, amelyekben rosszindulatú Excel-dokumentumokat használtak a PicassoLoader és a Cobalt Strike hasznos terhelések célba juttatására. A megfigyelt csalik témája az ukrán hadsereggel és a védelmi minisztériummal kapcsolatos kérdések voltak.
A SentinelLABS új tevékenységet figyelt meg, amelyekben szintén Excel dokumneutmokat alkalmaztak, amelyek az ukrán kormány, az ukrán hadsereg és a belorusz ellenzék érdekeivel kapcsolatos csalikat tartalmaztak. A SentinelLabs által megfigyelt TTP-k egy része átfedésben van a korábbi jelentésekkel, e gyes TTP-k viszont újak. A mostani kampány részeként a kiberszereplők a PicassoLoader kártevő módosított változatával fertőzték meg a célpontokat. A kutatók szerint a legújabb változat jelentős kódmódosításokat tartalmaz.
A Ghostwriter kampány esetében ezek az első esetek, amikor közvetlenül a fehérorosz ellenzék ellen is irányulnak kibertevékenységek. A jelentés szerint ez összefüggésben állhat az ország január eleji elnökválasztásával, amelyen Alekszandr Lukasenko elnök hetedik egymást követő mandátumát szerezte meg. A fehérorosz ellenzék elleni támadásokhoz használt csali dokumentum politikai foglyok neveit tartalmazza – olyan információkat, amelyek már korábban is nyilvánosan hozzáférhetőek voltak.
Ukrajnában kormányzati szervezetek számára készült korrupcióellenes kezdeményezés cselekvési tervének és a katonai ellátási logisztikával kapcsolatos jelentéssablonnak álcázott adathalász dokumentumokat terjesztettek a kampány keretében.
A kampánnyal kapcsolatos IOC-kat megosztott a SentinelLABS.
