警惕！Ghostwriter黑客组织瞄准乌克兰政府和白俄罗斯反对派

大家好，我是紫队安全研究。建议大家把公众号“紫队安全研究”设为星标，否则可能就无法及时看到啦！因为公众号只对常读和星标的公众号才能大图推送。操作方法：先点击上面的“紫队安全研究”，然后点击右上角的【...】,然后点击【设为星标】即可。

网络安全公司SentinelLABS发现，Ghostwriter黑客组织（又名UNC1151、UAC-0057）正在对白俄罗斯反对派活动人士以及乌克兰军方和政府机构发起新一轮攻击。此次攻击使用了新型PicassoLoader恶意软件变种，并通过钓鱼邮件传播恶意Excel文档，窃取目标信息。  

攻击手法揭秘  

1. 钓鱼邮件诱饵：  

   攻击者冒充名为“Vladimir Nikiforech”的发件人，发送包含Google Drive链接的钓鱼邮件。链接指向一个RAR压缩包，内含名为“Political prisoners (across courts of Minsk).xls”的恶意Excel文件。  

2. 恶意代码执行：  

   - Excel文件中的VBA宏代码被高度混淆，执行后会在系统临时目录（%Temp%）释放名为Realtek(r)Audio.dll的恶意文件。  

   - 该DLL文件通过regsvr32.exe加载，解密内存中的额外代码并修改PE头，以规避安全检测。  

3. 诱骗受害者：  

   攻击者会立即打开一个名为temp.xlsx的诱饵文件，让受害者误以为这是原始文件内容，同时后台下载更多恶意载荷。  

攻击目标与背景  

- 白俄罗斯反对派：攻击可能与2025年1月26日的白俄罗斯选举有关，旨在打压反对派活动人士。  

- 乌克兰军方和政府：攻击者使用乌克兰主题的诱饵文件，试图窃取敏感信息。  

技术亮点  

- PicassoLoader工具包：此次攻击使用的恶意软件是PicassoLoader的简化版本，此前该工具包曾与Ghostwriter组织关联。  

- 隐写术：部分恶意代码通过隐写术隐藏在JPG图片中，从sciencealert[.]shop域名下载。  

如何防范？  

1. 谨慎处理邮件附件，尤其是来源不明的Excel文件。  

2. 禁用Office宏功能，除非明确文件来源可信。  

3. 安装并更新安全软件，及时检测和拦截恶意行为。  

加入知识星球，可继续阅读

一、"全球高级持续威胁：网络世界的隐形战争"，总共26章，为你带来体系化认识APT，欢迎感兴趣的朋友入圈交流。

二、"DeepSeek：APT攻击模拟的新利器"，为你带来APT攻击的新思路。

喜欢文章的朋友动动发财手点赞、转发、赞赏，你的每一次认可，都是我继续前进的动力。