A Ghostwriter továbbra is nyomás alatt tartja Ukrajnát és Lengyelországot

A HarfangLab kutatói 2025 áprilisa és júliusa között két Ukrajnát és Lengyelországot célzó, különböző, de egymással szorosan összefüggő kampányt azonosítottak, amelyek mögött nagy valószínűséggel az UAC-0057 (más néven UNC1151, FrostyNeighbor, vagy Ghostwriter) csoport állhat – melyet több kutató is Fehéroroszországhoz köt. A támadások spearphishing módszerrel terjedő ZIP vagy RAR archívumokkal történtek, amelyekben makrókat tartalmazó Excel fájlok voltak. Ezek a makrók különböző technikákkal DLL fájlokat juttattak a rendszerbe, majd regsvr32 vagy rundll32 szolgáltatások segítségével töltötték be azokat. A dropper fájlok rendszerinformációkat gyűjtöttek, majd egy második szakaszú malware-t próbáltak letölteni a parancs és vezérlő (C2) szerverekről, amelyek elnevezésükkel és URL-struktúrájukkal legitim oldalak (pl. SweetGeorgiaYarns, TaskAndPurpose) tartalmát utánozták.

A támadások során használt eszközkészlet .NET és C++ nyelven írt, erősen obfuszkált komponensekből állt, amelyeket gyakran olyan nyílt forráskódú eszközökkel (pl. ConfuserEx, MacroPack) rejtettek el, amelyek elérhetők biztonsági szakemberek számára is. A megfigyelt kampányok közül az ukrajnait .NET-es letöltők jellemezték, míg a lengyelt C++ alapú dropper implantátumok; utóbbiak közt szerepelt egy Cobalt Strike Beacon betöltésére alkalmas komponens is. A kampány infrastrukturálisan is összefügg, Cloudflare-rel maszkolt, .icu és .online végződésű domaineket használtak. A támadók új elemként Slack webhookokat is használtak C2 kommunikációra. A támadások célpontjai között valószínűleg ukrán kormányzati és lengyel önkormányzati szervezetek szerepeltek, de pontos célpontokat a kutatók nem tudtak meghatározni. A jelentés alacsony biztonsággal ugyan, de az UAC-0057-hez rendeli az akciókat, és folytatódó aktivitásra számít a térségben.

(forrás)