UNC1151: ukrán védelmi minisztérium elleni taktikák
A Cyble Research and Intelligence Labs (CRIL) nemrégiben találkozott egy olyan kampánnyal, amely az UNC1151 APT csoporthoz kapcsolódó rosszindulatú Excel dokumentumot használt.
A fehéroroszországi UNC1151 APT csoport hírhedt arról, hogy kelet-európai országokat, köztük Ukrajnát, Litvániát, Lettországot, Lengyelországot és másokat is kihasznál.
A legutóbbi kampányban arra utaló jelek vannak, hogy a csoport valószínűleg Ukrajnát veszi célba, és a csali dokumentum alapján a védelmi minisztériumra összpontosítottak.
A csali Excel dokumentum végrehajtásakor, amely beágyazott VBA makró tartalmat tartalmaz, amely egy LNK és egy DLL betöltő fájlt alkalmaz. A tavalyi kampányban egy DLL-töltőn keresztül jutottak hozzá egy titkosított JPG-fájlhoz, amelyet a payload futtatható állományt telepítse. Az új kampányban valószínűleg egy titkosított SVG-fájlt alkalmaznak.
A Cyble elemzése során nem tudott visszanyerni a titkosított adatokat. Mindazonáltal gyanítható, hogy a payload az AgentTesla, Cobalt Strike és njRAT lehet, hasonlóan az előző UNC1151 kampányban megfigyeltekhez.
A Mandiant Threat Intelligence feltárta a Ghostwriter/UNC1151 műveleteit, amely egy nagyobb befolyásolási kampány része, amely az orosz biztonsági érdekeket támogatja és a NATO-val szembeni kritikus narratívákat népszerűsíti. A legalább 2017 márciusa óta aktív kampány elsősorban az ukrajnai, litvániai, lettországi és lengyelországi közönséget célozza meg, hamis információkat terjesztve kompromittált webhelyeken és hamisított e-mail fiókokon keresztül.