IT Branschen – Teknik, cybersäkerhet och företagsnyheter.

Prenumerera

Håll dig uppdaterad med de viktigaste nyheterna

Genom att trycka på knappen Prenumerera bekräftar du att du har läst och godkänner vår integritetspolicy och användarvillkor
Prenumerera
Facebook Twitter Instagram Linkedin Pinterest
Kontakta oss

Belarusiska Hackare Attackerar Oppositionella och Ukraina med Skadlig Kod via Excel

Mateo SandströmbyMateo Sandström
March 10, 2025
Belarusiska Hackare Attackerar Oppositionella och Ukraina med Skadlig Kod via Excel Belarusiska Hackare Attackerar Oppositionella och Ukraina med Skadlig Kod via Excel

Ghostwriter-gruppen bakom nya attacker. Oppositionsaktivister i Vitryssland såväl som ukrainska militära och regeringsorganisationer är målet för en ny kampanj som använder Microsoft Excel-dokument för skadlig programvara som lockbete för att leverera en ny variant av Picassoloader.

Hotklustret har bedömts vara en förlängning av en långvarig kampanj monterad av en Vitrysslandsjusterad hotaktör som kallas Ghostwriter (alias Moonscape, TA445, UAC-0057 och UNC1151) sedan 2016. Det är känt att anpassa sig till ryska säkerhetsintressen och främja berättelser som är kritiska till NATO.

Kampanjens tidslinje och aktivering

“Kampanjen har varit i förberedelser sedan juli-augusti 2024 och gått in i den aktiva fasen i november-december 2024,” sa SentinelOne-forskaren Tom Hegel i en teknisk rapport.

Nya upptäckter:

  • Malware-prover och kommando-och-kontroll (C2) infrastrukturaktivitet tyder på att operationen förblir aktiv.
  • Attackkedjan startar med ett delat Google Drive-dokument, värd för ett skadligt RAR-arkiv.
Vitrysslandslänkad ghostwriter använder MacroPack-obuscated Excel-makron för att distribuera skadlig programvara

Tekniken bakom attackerna

Excel-makron som verktyg för infektion

RAR-filen innehåller en skadlig Excel VBA-arbetsbok, som när den öppnas utlöser ett obfuskerat makro. Om användaren möjliggör makron skrivs en DLL-fil till systemet, vilket i sin tur startar en förenklad version av Picassoloader.

Steganografi och osynlig skadlig kod

I nästa fas visas en Decoy Excel-fil för offret, medan ytterligare nyttolaster laddas ner i bakgrunden. Så sent som i juni 2024 användes denna teknik för att leverera Cobalt Strike-ramverket.

SentinelOne identifierade även andra vapeniserade Excel-dokument som använder Ukraina-tema som lockbete. Dessa dokument hämtar skadlig kod via steganografi, där en till synes harmlös JPG-bild innehåller dold skadlig kod.

Användning av Libcmd och .NET-nedladdare

I vissa fall används det infekterade Excel-dokumentet för att leverera en DLL vid namn Libcmd, som kör cmd.exe och ansluter till stdin/stdout. Den laddas direkt i minnet som en .NET-montering och körs utan att lämna spår på disken.

Ghostwriters fortsatta hot mot Ukraina

“Under 2024 har Ghostwriter upprepade gånger använt en kombination av Excel-arbetsböcker med MacroPack-obfuskerade VBA-makron och inbäddade .NET-nedladdare, säger Hegel.

Trots att Vitryssland inte deltar militärt i kriget i Ukraina, är cyberhotaktörer kopplade till landet fortsatt aktiva i cyberspionageoperationer mot ukrainska mål.

Share
Share
Pin it
Tweet
Share
Share
Mateo SandströmbyMateo Sandström
Published

Håll dig uppdaterad med de viktigaste nyheterna

Genom att trycka på knappen Prenumerera bekräftar du att du har läst och godkänner vår integritetspolicy och användarvillkor

LÄS MER