حمله گروه هکری بلاروس به سازمان‌های اوکراین

به گزارش کارگروه حملات سایبری سایبربان؛ گروه تهدید مداوم پیشرفته «GhostWriter» مرتبط با بلاروس، سازمان‌های اوکراینی را با خانواده بدافزاری به نام «PicassoLoader»، که برای ارسال بارهای مخرب مختلف استفاده می‌شد، هدف قرار داد.

تیم واکنش اضطراری رایانه‌ای اوکراین (CERT-UA) افزایش فعالیت مرتبط با گروه APT UAC-0057 (معروف به GhostWriter) را بین 12 تا 18 ژوئیه 2024 گزارش کرد. عوامل تهدید اسناد حاوی ماکروهایی را که برای استقرار بدافزار PICASSOLOADER در رایانه‌های قربانی طراحی شده بودند، توزیع کردند که سپس ابزار پس از بهره‌برداری «Cobalt Strike Beacon» را تحویل داد.

مهاجمان از اسناد طعمه، مالیات و معیارهای مالی-اقتصادی استفاده کردند.

در گزارش منتشر شده توسط تیم واکنش اضطراری رایانه‌ای اوکراین آمده است که UAC-0057 ممکن است هم متخصصان دفتر پروژه و هم همتایان آنها را در میان کارمندان ارگان‌های دولتی محلی مربوطه در اوکراین هدف قرار داده باشد.

این کمپین احتمالاً بخشی از یک فعالیت جاسوسی سایبری گسترده‌تر علیه دولت اوکراین بوده است.

در نوامبر 2021، محققان اطلاعات تهدید ماندیانت (Mandiant) کمپین اطلاعات نادرست Ghostwriter (معروف به UNC1151) را به دولت بلاروس مرتبط کردند.

در ماه اوت سال 2020، کارشناسان امنیتی «FireEye» یک کمپین اطلاعات نادرست را با هدف بی‌اعتبار کردن ناتو از طریق انتشار محتوای اخبار جعلی در وب‌سایت‌های خبری در معرض خطر، کشف کردند.

بنابر ادعای FireEye، این کمپین که با عنوان GhostWriter دنبال می‌شود، حداقل از مارس 2017 ادامه دارد و با منافع امنیتی روسیه همسو است.

برخلاف سایر کمپین‌های اطلاعات نادرست، GhostWriter از طریق شبکه‌های اجتماعی پخش نمی‌شود، در عوض، عوامل تهدید در پشت این کمپین از سیستم‌های مدیریت محتوای آسیب‌دیده (CMS) وب‌سایت‌های خبری یا حساب‌های ایمیل جعلی برای انتشار اخبار جعلی سوء استفاده کردند.

اپراتورهای Ghostwriter نهادهای بلاروس را قبل از انتخابات 2020 هدف قرار دادند، برخی از افراد (نمایندگان اپوزیسیون بلاروس) که توسط عوامل دولتی هدف قرار گرفتند، بعداً توسط دولت بلاروس دستگیر شدند.