乌克兰政府计算机应急响应小组(CERT-UA)报告称,2024年7月12日至18日期间,与APT组织UAC-0057(又名GhostWriter)相关的活动激增。威胁行为者分发了包含宏的文档,这些宏旨在在受害者的计算机上部署PICASSOLOADER恶意软件,然后传递后利用工具Cobalt Strike Beacon。
攻击者使用了与地方政府改革(美国国际开发署/民主、冲突和人道主义援助办公室“HOVERLA”项目)、税收以及金融经济指标相关的诱饵文档(“oborona.rar”、“66_oborona_PURGED.xls”、“trix.xls”、“equipment_survey_regions_.xls”、“accounts.xls”、“spreadsheet.xls”、“attachment.xls”、“Податок_2024.xls”)。
CERT-UA发布的报告指出:“据此可以推断,UAC-0057可能同时瞄准了项目办公室专家以及乌克兰相关地方政府机构中的对应员工。”
Ghostwriter行动
此次行动可能是针对乌克兰政府的一系列更广泛的网络间谍活动的一部分。
2021年11月,Mandiant威胁情报研究人员将Ghostwriter虚假信息行动(又名UNC1151)与白俄罗斯政府联系起来。
2020年8月,FireEye的安全专家发现了一场虚假信息行动,该行动通过在被入侵的新闻网站上传播虚假新闻内容来诋毁北约。
据FireEye称,自2017年3月以来,名为GhostWriter的行动一直在持续,并与俄罗斯的安全利益相一致。
与其他虚假信息行动不同,GhostWriter并不通过社交网络传播,相反,该行动背后的威胁行为者滥用了新闻网站的被入侵内容管理系统(CMS)或伪造的电子邮件账户来传播虚假新闻。
在2020年选举之前,Ghostwriter行动背后的操作者曾瞄准白俄罗斯实体,一些被该国家行为者瞄准的个人(白俄罗斯反对派代表)后来被白俄罗斯政府逮捕。
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...