Hakerzy powiązani z Białorusią na Ukrainie iw Polsce rozpoczęli się co najmniej rok temu, czytamy w raporcie

Badacze ujawnili nowe informacje o złośliwej kampanii wymierzonej w agencje rządowe, organizacje wojskowe i organizacje cywilne na Ukrainie iw Polsce.

Co najmniej od kwietnia 2022 r. do tego miesiąca hakerzy próbowali infiltrować urządzenia ofiar w celu kradzieży informacji i uzyskania stałego dostępu zdalnego. Nowy raport Opublikowane przez firmę zajmującą się cyberbezpieczeństwem Cisco Talos.

Badacze nie ujawnili skali skutków ataków.

Cisco Talos zauważył, że ukraiński zespół reagowania na incydenty komputerowe (CERT-UA) niedawno obwinił grupę hakerów UNC1151, znaną również jako Ghostwriter, za lipcowe incydenty. Przydzielony do rządu Białorusi.

Raport CERT-UA nie zawiera informacji o atakach sprzed lipca.

Ghost Writer atakuje Ukraińców Żołnierze armii I Służby Cywilne Polski Zanim. Grupa często przeprowadza działania phishingowe, takie jak kradzież danych logowania do poczty e-mail, włamywanie się na strony internetowe i dystrybucja złośliwego oprogramowania.

W kampanii monitorowanej przez Cisco Talos hakerzy wykorzystali wieloetapowy łańcuch infekcji do infiltracji systemów swoich celów. Po pierwsze, wysyłali złośliwe załączniki do wiadomości e-mail z pakietu Microsoft Office, często przy użyciu formatów plików Microsoft Excel i PowerPoint, stwierdzili naukowcy.

Akta są następstwem dokumentów przesłanych z Ministerstwa Obrony Ukrainy, Ministerstwa Obrony Narodowej Polski i Służby Skarbu Państwa Ukrainy.

Na przykład niektóre dokumenty Excela przypominają formularze służące do obliczania wynagrodzeń żołnierzy w określonej jednostce wojskowej. Ukraińskie i polskie przedsiębiorstwa oraz użytkownicy publiczni byli celem ataków złośliwych arkuszy kalkulacyjnych Excel podszywających się pod formularze zwrotu podatku od wartości dodanej (VAT).

Pliki PowerPoint nie wyświetlają rzeczywistych slajdów po otwarciu, ale wykonują złośliwy kod. Wykorzystanie plików PowerPoint przez hakerów wskazuje, że eksperymentowali oni z formatami plików, które są rzadziej używane w atakach, sugerują naukowcy.

Następnym krokiem w ataku jest użycie złośliwego oprogramowania pobierającego o nazwie PicassoLoader, które uwalnia ostateczne ładunki, w tym trojana zdalnego dostępu AgentTesla (RAT), sygnały nawigacyjne Cobalt Strike i innego trojana o nazwie njRAT. Naukowcy stwierdzili, że ładunki te są wykorzystywane do kradzieży danych i zdalnego dostępu do zainfekowanych systemów.