Ataki hakerskie związane z Białorusią na Ukrainę i Polskę podobno rozpoczęły się co najmniej rok temu

Badacze ujawnili nowe informacje o złośliwej kampanii wymierzonej w agencje rządowe, organizacje wojskowe i podmioty cywilne na Ukrainie iw Polsce.

Według doniesień, od co najmniej kwietnia 2022 r. do tego miesiąca hakerzy próbowali włamać się do urządzeń ofiar, aby wykraść informacje i uzyskać trwały zdalny dostęp nowy raport opublikowane przez firmę zajmującą się cyberbezpieczeństwem Cisco Talos.

Badacze nie podali żadnych informacji na temat skali skutków ataków.

Cisco Talos zauważył, że ukraiński zespół reagowania na incydenty komputerowe (CERT-UA) niedawno przypisał lipcowe incydenty grupie hakerskiej UNC1151, znanej również jako GhostWriter związany z białoruskim rządem.

Raport CERT-UA nie zawierał informacji o atakach sprzed lipca.

GhostWriter atakuje Ukraińców personel wojskowy I Polskie służby rządowe Zanim. Grupa przeprowadza głównie operacje phishingowe, które kradną dane logowania do poczty e-mail, atakują strony internetowe i rozpowszechniają złośliwe oprogramowanie.

W kampanii prowadzonej przez Cisco Talos hakerzy wykorzystali wieloetapowy łańcuch infekcji do penetracji systemów swoich celów. Po pierwsze, wysyłali złośliwe załączniki do wiadomości e-mail z pakietu Microsoft Office, głównie w formatach plików Microsoft Excel i PowerPoint, twierdzą naukowcy

Te akta były prawdopodobnie dokumentami przesłanymi między innymi przez Ministerstwo Obrony Ukrainy, Ministerstwo Obrony Polski i Skarb Państwa Ukrainy.

Na przykład niektóre dokumenty Excela przypominają formularze służące do obliczania listy płac żołnierzy z określonej jednostki wojskowej. Ukraińskie i polskie firmy oraz zwykli użytkownicy byli celem złośliwych arkuszy kalkulacyjnych Excel podszywających się pod formularze deklaracji VAT.

Pliki PowerPoint nie wyświetlały rzeczywistych slajdów po otwarciu, ale nadal wykonywały szkodliwy kod. Badacze podejrzewają, że wykorzystanie przez hakerów plików programu PowerPoint wskazuje, że eksperymentowali oni z formatami plików, które są rzadziej wykorzystywane w atakach.

Kolejnym etapem ataku było użycie złośliwego oprogramowania pobierającego o nazwie PicassoLoader, które uruchamia najnowsze ładunki, w tym trojana zdalnego dostępu AgentTesla (RAT), sygnały nawigacyjne Cobalt Strike oraz innego trojana o nazwie njRAT. Naukowcy stwierdzili, że ładunki te są wykorzystywane do kradzieży informacji i zdalnego dostępu do zainfekowanych systemów.