Компания SentinelLABS, занимающаяся анализом киберугроз, сообщает о кампании хакерской группировки Ghostwriter, связанной с беларусским режимом, против активистов беларусской оппозиции, украинских военных и правительственных организаций, заметил Reform.news.
Ghostwriter, также известная как UNC1151 и UAC-0057, действует, вероятно, с 2016 года. В 2022—2024 годах группировка использовала зараженные Excel-документы для доставки вредоносных загрузчиков PicassoLoader и Cobalt Strike. Документы, которые использовались как приманки, были тематически связаны с военными вопросами Украины. Атаки, вероятно, были нацелены на Минобороны Украины.
Новая активная кампания Ghostwriter началась в ноябре-декабре 2024 года. На этот раз приманки в Excel-документах относятся к интересам беларусской оппозиции, украинской армии и правительства Украины, отмечает SentinelLABS.
Так, одна из атак началась с документа, расшаренного через Google Drive и попавшего в почтовый ящик цели. Email был отправлен с учетной записи «Vladimir Nikiforeach» (vladimir.nikiforeach@gmail[.]com). В нем находилась ссылка на архив RAR, который, согласно внутренним меткам, был создан 14 января 2025 года. В архиве была зараженная Excel-таблица с расширением .xls и именем «политзаключенные (по судам минска)». В ней содержались имена осужденных по политическим мотивам, статьи, решение суда, имена судей и прокуроров. Данные были взяты из публичного доступа с сайта «Вясны». После открытия зараженного Excel-документа запускалось выполнение макроса.
В атаке, проанализированной SentinelLABS, заражения не произошло. Компания полагает, что процесс тщательно контролируется, и заражение происходит после подтверждения профиля пользователя (User-Agent браузера, IP-адреса и времени). Тем не менее SentinelLABS полагает, что атака такого типа не является единичной.
Компания также анализирует атаки, нацеленные на военных и правительство Украины.
Фишкой Ghostwriter является использование вредоносного ПО PicassoLoader. Группировка применяла его ранее при атаках на сайты в Украине и Польше. В 2024 году хакеры использовали упрощенную версию PicassoLoader.
SentinelLABS делает вывод, что группировка Ghostwriter сохраняет активность и продолжает действовать в целях властей Беларуси и России.
«В 2024 году она осуществила множество атак, о которых сообщали CERT UA и другие исследователи в области кибербезопасности. Хотя Беларусь не принимает активного участия в военных кампаниях против Украины, связанные с ней киберпреступные группировки, похоже, не испытывают никаких колебаний в проведении кибершпионских операций против украинских целей. Описанная в данной публикации кампания также подтверждает, что Ghostwriter тесно связан с интересами беларусского правительства, которое ведет агрессивную борьбу с оппозицией и связанными с ней организациями», — заявляет SentinelLABS.
В 2022 Google назвал Ghostwriter причастной к атакам на сайты польских и украинских правительственных и военных организаций. В 2023 года польское оборонное ведомство выявило атаку беларусской кибергруппировки UNC1151 (Ghostwriter). Группировка провела операцию по дезинформации, заключающуюся в распространении сообщений о возможном наборе в Литовско-польско-украинскую бригаду имени Великого гетмана Константина Острожского.