新的代笔人行动针对乌克兰政府和白俄罗斯反对派活动人士

SentinelLABS观察到一个新的“代笔人”（Ghostwriter）行动，该行动针对白俄罗斯反对派活动人士以及乌克兰军方和政府实体，使用了新变种的PicassoLoader恶意软件。这一行动自2024年末以来一直活跃，威胁行为者使用武器化的Microsoft Excel文档作为诱饵。

研究人员认为，该行动仍在进行中。SentinelLABS指出，这些攻击是长期运行的“代笔人”行动的延伸。威胁行为者“代笔人”（又名UNC1151、UAC-0057）与白俄罗斯政府有关联。2020年8月，FireEye的安全专家揭露了一场旨在通过在被攻陷的新闻网站上传播虚假新闻内容来诋毁北约的虚假信息活动。据FireEye称，该活动被追踪为“GhostWriter”，自2017年3月以来一直在进行，并与俄罗斯的安全利益保持一致。

SentinelLabs分析的攻击链始于一封来自名为“Vladimir Nikiforech”发件人的钓鱼邮件中的Google Drive链接。该链接指向一个包含恶意Excel工作簿的RAR压缩包，文件名为“Political prisoners (across courts of Minsk).xls”。这标志着“代笔人”行动目标的转变，现在针对白俄罗斯反对派。此次攻击可能与白俄罗斯2025年1月26日的选举有关，使用了混淆的VBA宏来执行恶意代码。

执行时，宏会在%Temp%目录下释放Realtek(r)Audio.dll，并通过regsvr32.exe启动以执行.NET程序集。该DLL使用ConfuserEx进行混淆，并包含一个简化的PicassoDownloader变种，与“代笔人”行动相关。它在内存中解密额外代码，并修改其PE头以进行规避。

SentinelLABS发布的报告中写道：“作为混淆器提供的应用程序保护的一部分，下载器会在内存中创建自身的副本并对其进行修改。它通过解密程序集的额外代码来实现这一点。它还使用了一种巧妙的规避技术，修改其内存中的PE头，并破坏与.NET程序集的内部链接。这使得安全产品无法将其解析为.NET模块。”报告还指出：“诱饵文件temp.xlsx会立即在Excel中打开，试图让受害者相信它包含原始内容。”

在诱饵Excel文件显示的同时，额外的有效载荷会在后台下载。在过去，国家级行为者使用这种方法部署后期利用工具Cobalt Strike，而现在恶意代码则提供与乌克兰相关的诱饵。SentinelOne发现，武器化的Excel文件通过隐写术从sciencealert.shop的JPG图像中检索第二阶段恶意软件。研究人员注意到，这些URL目前已失效。

攻击归因基于PicassoLoader的使用，这是一个与“代笔人”行动相关的下载器工具包。2024年，该APT组织部署了带有Macropack混淆的VBA宏和用ConfuserEx混淆的.NET下载器的Excel工作簿。此变种似乎是PicassoLoader的简化版本。

报告总结道：“‘代笔人’威胁行为者在过去几年中一直活跃，并继续试图破坏与白俄罗斯及其最亲密盟友俄罗斯利益一致的目标。2024年期间，CERT UA和其他安全研究人员报告了多起攻击事件。虽然白俄罗斯没有积极参与乌克兰战争中的军事行动，但与其相关的网络威胁行为者似乎对针对乌克兰目标进行网络间谍活动毫无保留。本报告中描述的行动也证实，‘代笔人’与白俄罗斯政府的利益密切相关，正在积极追捕其反对派及相关组织。”