Компания SentinelLABS обнаружила новую серию кибератак на оппозиционеров из Беларуси, украинских военных и правительственные организации. Атаки начались в ноябре-декабре 2024 года и продолжаются по сей день.
Эксперты связывают эти атаки с группировкой Ghostwriter, которая активна с 2016 года и ранее известна под кодовыми названиями UNC1151 и UAC-0057. Ghostwriter использует социальную инженерию и хакерские атаки, направленные на страны Европы.
В начале 2025 года были выявлены новые атаки. Один из них использовал Excel-файл с названием «Политзаключённые (по судам Минска)», который распространялся через Google Drive. Второй файл, «Zrazok.xls», был под видом антикоррупционной инициативы украинских органов. Третий документ, «Донесення 5 реч — зразок.xls», был представлен как отчёт по поставкам для армии.
Ghostwriter также использовал аналогичные XLS-файлы, загруженные из Украины в феврале 2025 года. Атаки этой группировки основаны на загрузке вредоносного кода только при определённых условиях, например, при совпадении IP-адреса с украинскими диапазонами.
Ghostwriter остаётся одной из самых активных кибершпионских группировок в Восточной Европе. Несмотря на усилия по их выявлению, атаки продолжаются и становятся всё сложнее. Эксперты предупреждают, что подобные атаки могут быть направлены и на другие страны.
© KiberSec.ru – 04.04.2025, обновлено 04.04.2025
Перепечатка материалов сайта возможна только с разрешения администрации KiberSec.ru.
