Ghostwriter: найдены новые методы кибератак на оппозиционеров и военных

SentinelLABS зафиксировала новую волну кибератак на белорусских оппозиционеров, а также на украинских военных и правительственные организации. Кампания готовилась с июля-августа 2024 года и перешла в активную фазу в ноябре-декабре. По данным SentinelLABS, атаки продолжаются до сих пор.

Специалисты связывают активность с группировкой Ghostwriter, которая действует с 2016 года и ранее попадала в отчёты под кодовыми названиями UNC1151 (Mandiant) и UAC-0057 (CERT-UA). Ghostwriter сочетает социальную инженерию с хакерскими атаками, нацеленными на страны Европы.

Новые атаки выявлены в начале 2025 года. Одна из них использует Excel-файл с названием «Политзаключённые (по судам Минска)». Документ распространялся через Google Drive, прикреплённый к письму от адреса vladimir.nikiforeach@gmail[.]com. В документе был макрос, который при открытии загружал стороннюю библиотеку. Вредоносное ПО маскировалось под драйвер Realtek Audio, а его код был обфусцирован с помощью инструмента ConfuserEx.

Второй вредоносный документ «Zrazok.xls» был оформлен под антикоррупционную инициативу украинских госорганов. Файл также содержал макрос, но использовал Macropac— инструмент для скрытия вредоносного кода, популярный среди хакеров . После открытия документа загружалась новая вредоносная библиотека, которая подменяла легитимный файл Excel.

Третий вредоносный документ, «Донесення 5 реч - зразок.xls», представлял собой отчёт по поставкам для армии. Его структура аналогична предыдущим: макросы загружают скрытое ПО, которое подключается к серверам злоумышленников.

SentinelLABS также обнаружила несколько аналогичных XLS-файлов, загруженных из Украины в феврале 2025 года. Они содержали схожие механизмы атаки и использовали серверы с доменами в зоне .shop. Особенность атак Ghostwriter в том, что вредоносные компоненты загружаются только при выполнении определённых условий. Например, при совпадении IP-адреса с украинскими диапазонами. В ином случае вместо вредоносного кода загружается безобидное изображение.

Ghostwriter остаётся одной из самых активных кибершпионских группировок в Восточной Европе. Несмотря на усилия по расследованию деятельности, атаки продолжаются и становятся всё более изощрёнными. Специалисты предупреждают, что подобные атаки могут быть нацелены на и другие страны.