Ghostwriter kampány
A Lengyel CERT elemzése szerint a Belaruszhoz kötött UNC1151 (Ghostwriter) csoport 2026 tavaszától új kampányt indított, amely ezúttal kifejezetten Gmail-fiókok kompromittálására irányul. A csoport korábban elsősorban lengyel levelezőszolgáltatók (Onet, Wirtualna Polska, Interia) felhasználóit támadta, azonban a célpontkör mára kibővült a Google szolgáltatásait használó személyekkel is. A kampány elsősorban politikai szereplőket, újságírókat, kutatókat, köztisztviselőket, katonai és rendvédelmi dolgozókat, valamint ezek közvetlen kapcsolatrendszerét célozza.
A támadások alapja célzott adathalászat. A sértettek olyan e-maileket kapnak, amelyek Gmail-biztonsági értesítésnek vagy fiókvédelmi figyelmeztetésnek tűnnek. A beágyazott link egy megtévesztő bejelentkezési oldalra vezet, ahol a támadók megszerzik a felhasználónevet, jelszót és sok esetben a kétfaktoros hitelesítéshez szükséges egyszer használatos kódot is. A kampányban Adversary-in-the-Middle technikák alkalmazására utaló jelek is megfigyelhetők, amelyek lehetővé teszik a hitelesítési adatok valós idejű továbbítását a legitim szolgáltatás felé.
A sikeres kompromittálást követően a támadók nem pusztán a levelezés tartalmát vizsgálják át. Keresik a kapcsolati hálókat, érzékeny dokumentumokat, további fiókokhoz kapcsolódó információkat, valamint olyan adatokat, amelyek újabb célpontok elleni műveletek előkészítésére használhatók fel. Ez jól illeszkedik a Ghostwriter korábbi kiberkémkedési és információs műveleteihez.
A kampány azt mutatja, hogy az UNC1151 folyamatosan fejleszti módszereit, a korábbi Browser-in-the-Browser technikáktól és a Roundcube sérülékenységek kihasználásától eljutott a Gmail-felhasználók elleni, hitelesítési folyamatokat megkerülni próbáló célzott adathalászatig. A műveletek célja továbbra is a hosszú távú információszerzés és a célpontok kapcsolati hálójának feltérképezése.
