Ghostwriter APT infrastruktúra pivoting
2024. június 3-án a Fortinet megosztott egy jelentést a Cobalt Strike Beacons-hoz vezető rosszindulatú XLS makró dokumentumokról. Az XLS dokumentumok elemzése kimutatta, hogy azok az ukrán hadsereget célozták meg, és egy ismert fehérorosz állam által támogatott APT csoporthoz kapcsolódtak, amelyet Ghostwriter (más néven UNC1151, UAC-0057, TA445) néven követnek nyomon. 2024. június 4-én a Cyble szintén megosztott egy jelentést egy hasonló kampányról. Mindkét jelentésben az állt, hogy ha megnyitották az XLS-t, és lefutottak a makrók, akkor egy rosszindulatú DLL-fájl töltődött le egy kiberszereplő által létrehozott tartományból. A Fortinet jelentésében két hasonló „.shop” tartományt említettek. A Cyble jelentésében egy másik „.shop” tartományt is megemlítettek.
A BushidoToken névre hallgató biztonsági kutató elemezte a Ghostrwriter csoport infrastruktúrájáról rendelkezésre álló információkat, többek között az ukrán CERT-UA, valamint a Deep Instinct, a Cyble és a Fortinet által szolgáltatott fenyegetési adatokat figyelembe véve. Ezek a szervezetek megosztották az IOC-kat, amelyeket többek között az ellenfél behatolási tevékenységeinek elemzése vagy a VirusTotal-ra történő feltöltés után fedeztek fel. Ezekből a jelentésekből a kutató 24 olyan domain-t azonosított, amelyek megfeleltek egy mintának, és amelyeket valószínűleg a Ghostwriter csoport hozott létre.
Az infrastruktúra pivoting lényegében azt jelenti, hogy az ellenfél által létrehozott további rendszereket keresnek a kutatók. Ennek a törekvésnek a fő előnye további célpontok vagy áldozatok, több eszköz vagy rosszindulatú szoftverminta, és végső soron az ellenfél képességeire vonatkozó új ismeretek azonosítása.
