首页 > 安全 > 正文

Ghostwriter APT乌克兰的国家实体与钴罢工灯塔

最后更新 :2022.03.28

乌克兰证书 - ua警告白俄罗斯联系的Ghostwriter APT集团是用钴罢工灯座定位乌克兰的州实体。

小组定位乌克兰国家实体用钴罢工灯塔。

网络钓鱼消息使用名为saboteurs.rar的RAR-Archive,其中包含RAR-Archive Saboteurs 21.03.rar。这个第二档案包含SFX-Archive Saboteurs filercs.rar,专家报告,文件名包含左右覆盖(RTLO)字符以掩盖实际扩展。

存档包含文件和图像诱饵,以及VBScript代码(Thumbs.db),它将创建和运行.NET程序DHDHK0K34.com。阅读CERT-UA发布的咨询。

攻击链以递送恶意计划钴罢工灯塔结束。注入的汇编日期基于攻击中使用的vbscript的代码。

在2021年11月,Mandiant威胁情报研究人员将Ghostwriter Disined竞选(AKA Und1151)联系在白俄罗斯政府中。
Ghostwriter 8月2020年,来自Fireeye的安全专家通过在受损的新闻网站上传播假新闻内容来揭示旨在诋毁北约的虚假活动。
根据Fireeye,被追踪为Ghostwriter的活动,自2017年至少三月以来一直在进行,并且是与俄罗斯的安全兴趣一致。

与其他不征求的活动不同,Ghostwriter不会通过社交网络传播,而是遭受损害的威胁演员。新闻网站或欺骗电子邮件帐户的内容管理系统(CMS)典型的假新闻。

在2020年选举之前,Ghostwriter背后的运营商在2020年选举之前,国家行动者针对的一些个人(白俄罗斯反对派代表)后来被白俄罗斯政府逮捕了。[123

研究人员收集的敏感技术信息表明,威胁行动者在白俄罗斯军队的控制下,白俄罗斯的临近行为者经营。

证明书概述也公布了最近的竞选妥协指标。

- END -

看更多