白俄罗斯的反对派活动分子以及乌克兰的军事和政府组织成为了新一轮攻击活动的目标,该攻击活动利用掺杂恶意软件的 Microsoft Excel 文档作为诱饵,发送 PicassoLoader 的新变种。
据评估,该威胁集群是与白俄罗斯结盟的一个名为 Ghostwriter(又名 Moonscape、TA445、UAC-0057 和 UNC1151)的威胁行为者自 2016 年以来发起的长期活动的延伸。众所周知,它与俄罗斯的安全利益一致,并宣扬批评北约的言论。
"SentinelOne 研究员汤姆-黑格尔(Tom Hegel)在与《黑客新闻》共享的一份技术报告中说:"该活动自 2024 年 7 月至 8 月一直在准备,并于 2024 年 11 月至 12 月进入活跃阶段。"最近的恶意软件样本和指挥控制(C2)基础设施活动表明,该行动在最近几天依然活跃。"
网络安全公司分析的攻击链起点是一个谷歌 Drive 共享文档,该文档源自一个名为 Vladimir Nikiforech 的账户,其中包含一个 RAR 压缩文件。
该 RAT 文件包含一个恶意 Excel 工作簿,打开后会在潜在受害者启用宏运行时触发执行一个混淆宏。宏继续编写一个 DLL 文件,最终为简化版的 PicassoLoader 铺平道路。
在下一阶段,会向受害者显示一个诱饵 Excel 文件,同时在后台向系统下载其他有效载荷。就在 2024 年 6 月,这种方法被用于提供 Cobalt Strike 后期开发框架。
SentinelOne 称,它还发现了其他带有乌克兰主题诱饵的武器化 Excel 文档,这些诱饵以看似无害的 JPG 图像形式从远程 URL("sciencealert[.]shop")检索未知的第二阶段恶意软件,这种技术被称为隐写术。这些网址已不再可用。
在另一个例子中,被诱杀的 Excel 文档被用来传送一个名为 LibCMD 的 DLL,该 DLL 用于运行 cmd.exe,并连接到 stdin/stdout。它作为 .NET 程序集直接加载到内存中并执行。
"黑格尔说:"在整个 2024 年,Ghostwriter 都在反复使用包含 Macropack 混淆 VBA 宏的 Excel 工作簿,以及使用 ConfuserEx 混淆的嵌入式 .NET 下载器。
"虽然白俄罗斯没有积极参与乌克兰战争中的军事行动,但与之相关的网络威胁行为体似乎毫无保留地对乌克兰目标开展网络间谍行动"。
信息来源:https://thehackernews.com/2025/02/belarus-linked-ghostwriter-uses.html
AI API 安全 DMARC 中国 云安全 五角大楼 人工智能 关税 加密货币 勒索软件 品牌冒充 国家安全 威胁情报 应用程序安全 恶意软件 数字货币 时事政治 时政 时政新闻 木马病毒 欺诈管理和网络犯罪 欺骗 民族国家攻击 漏洞和威胁 特朗普政府 社会工程学 社会工程学、网络战 移动安全 端点安全 缺口 网络安全 网络安全运营 网络攻击和数据泄露 网络犯罪 网络罪犯 网络钓鱼 网络间谍 网络风险 美国贸易代表办公室 联邦贸易委员会 脆弱性 金融与银行 间谍软件 阿联酋 骗局