Поддержать команду Зеркала
Беларусы на войне
  1. «Я бы сделала это и бесплатно». Поговорили с беларуской, которая сыграла в фильме, получившем пять наград на «Оскаре»
  2. Если в Польше женщина рожает без мужа, это удивляет. Гинеколог уехала из Беларуси после протестов, а теперь к ней стоят очереди в Польше
  3. Мобильные операторы анонсировали изменения. Есть предупреждение для клиентов — важно сделать одно действие, чтобы не остаться без связи
  4. Чиновники много рассуждают, что сделать, чтобы медработники не уезжали из страны. Медсестра из минской больницы дала им простой ответ
  5. Троллейбусная сеть Минска — крупнейшая в мире. Почему от этого транспорта отказываются во многих странах, несмотря на экологичность?
  6. Решили проверить информацию от BYPOL и попытались устроиться в госорганизации с подписью за Бабарико. Рассказываем, что из этого вышло
  7. Представитель Кремля: Москва против временного перемирия
  8. Лукашенко пожаловался, что его в России «периодически» обвиняют в «иждивенчестве», и привел свои аргументы, почему это не так
  9. Водители автобусов утверждают, что на границе с Литвой «трясут жестко». Увеличилось ли время прохождения?
  10. Эксперты проанализировали вчерашнее согласие Путина на прекращение огня, но «с нюансами» — вот их выводы
  11. «Слишком близкий к Украине». Трамп отстранил главного представителя США на переговорах из-за претензий Кремля — СМИ
  12. Власти переживают из-за оттока молодежи и думают, как ее удержать. Рассказываем об идеях из закрытого документа (вам не понравится)
  13. Лукашенко на встрече с Путиным завысил явку на прошедших выборах и количество голосов в свою поддержку
  14. Путин согласен с предложением прекратить боевые действия в Украине, «но есть нюансы»


Reform.news

Компания SentinelLABS, занимающаяся анализом киберугроз, сообщает о кампании хакерской группировки Ghostwriter, связанной с беларусским режимом, против активистов беларусской оппозиции, украинских военных и правительственных организаций, заметил Reform.news.

Фото с сайта pixabay.com
Изображение используется в качестве иллюстрации. Фото: pixabay.com

Ghostwriter, также известная как UNC1151 и UAC-0057, действует, вероятно, с 2016 года. В 2022—2024 годах группировка использовала зараженные Excel-документы для доставки вредоносных загрузчиков PicassoLoader и Cobalt Strike. Документы, которые использовались как приманки, были тематически связаны с военными вопросами Украины. Атаки, вероятно, были нацелены на Минобороны Украины.

Новая активная кампания Ghostwriter началась в ноябре-декабре 2024 года. На этот раз приманки в Excel-документах относятся к интересам беларусской оппозиции, украинской армии и правительства Украины, отмечает SentinelLABS.

Так, одна из атак началась с документа, расшаренного через Google Drive и попавшего в почтовый ящик цели. Email был отправлен с учетной записи «Vladimir Nikiforeach» (vladimir.nikiforeach@gmail[.]com). В нем находилась ссылка на архив RAR, который, согласно внутренним меткам, был создан 14 января 2025 года. В архиве была зараженная Excel-таблица с расширением .xls и именем «политзаключенные (по судам минска)». В ней содержались имена осужденных по политическим мотивам, статьи, решение суда, имена судей и прокуроров. Данные были взяты из публичного доступа с сайта «Вясны». После открытия зараженного Excel-документа запускалось выполнение макроса.

В атаке, проанализированной SentinelLABS, заражения не произошло. Компания полагает, что процесс тщательно контролируется, и заражение происходит после подтверждения профиля пользователя (User-Agent браузера, IP-адреса и времени). Тем не менее SentinelLABS полагает, что атака такого типа не является единичной.

Компания также анализирует атаки, нацеленные на военных и правительство Украины.

Фишкой Ghostwriter является использование вредоносного ПО PicassoLoader. Группировка применяла его ранее при атаках на сайты в Украине и Польше. В 2024 году хакеры использовали упрощенную версию PicassoLoader.

SentinelLABS делает вывод, что группировка Ghostwriter сохраняет активность и продолжает действовать в целях властей Беларуси и России.

«В 2024 году она осуществила множество атак, о которых сообщали CERT UA и другие исследователи в области кибербезопасности. Хотя Беларусь не принимает активного участия в военных кампаниях против Украины, связанные с ней киберпреступные группировки, похоже, не испытывают никаких колебаний в проведении кибершпионских операций против украинских целей. Описанная в данной публикации кампания также подтверждает, что Ghostwriter тесно связан с интересами беларусского правительства, которое ведет агрессивную борьбу с оппозицией и связанными с ней организациями», — заявляет SentinelLABS.

В 2022 Google назвал Ghostwriter причастной к атакам на сайты польских и украинских правительственных и военных организаций. В 2023 года польское оборонное ведомство выявило атаку беларусской кибергруппировки UNC1151 (Ghostwriter). Группировка провела операцию по дезинформации, заключающуюся в распространении сообщений о возможном наборе в Литовско-польско-украинскую бригаду имени Великого гетмана Константина Острожского.