Государственные хакеры Ghostwriter нацелились на белорусских активистов

Хакерская группировка Ghostwriter, связанная с режимом Лукашенко, ведет кампанию против активистов белорусской оппозиции, украинских военных и правительственных организаций. Об этом сообщила компания SentinelLABS, которая занимается анализом киберугроз, пишет reform.news.

Предполагается, что группа Ghostwriter (также известная как UNC1151 и UAC-0057) действует с 2016 года. В 2022-2024 годах она рассылала зараженные Excel-документы для доставки вредоносных загрузчиков PicassoLoader и Cobalt Strike. Документы-приманки тематически были связаны с военными вопросами Украины.

Новая активная кампания группы началась в ноябре-декабре 2024 года. Теперь приманки в Excel-документах связаны с интересами белорусской оппозиции, украинской армии и правительства Украины. В частности, хакеры рассылают Excel-таблицу "Политзаключенные (по судам Минска)". В ней содержатся имена осужденных по политическим мотивам, статьи, решение суда, имена судей и прокуроров. Данные взяты из публичного доступа с сайта правозащитного центра "Вясна". После открытия зараженного Excel-документа запускается вредоносный макрос.

В атаке, которую проанализировали в SentinelLABS, заражения не произошло. В компании полагают, что процесс тщательно контролируется и заражение происходит после подтверждения профиля пользователя (User-Agent браузера, IP-адреса и времени).

В 2022 Google заявил, что группировка Ghostwriter имеет отношение к атакам на сайты польских и украинских правительственных и военных организаций. В 2023 году польское Минобороны также обнаружило атаку этой белорусской кибергруппировки. Тогда распространялись фальшивые сведения о возможном наборе в литовско-польско-украинскую бригаду имени великого гетмана Константина Острожского.