Willkommen bei IT-Branchen – Der Kanal für IT-News, Cybersecurity und digitale Trends

Für Unternehmen, Lieferanten und Entscheider der IT-Branche

Digitale Strategie und Insights für Entscheider der IT-Branche

Abonnieren

Bleiben Sie über die wichtigsten Neuigkeiten auf dem Laufenden

Durch Drücken der Schaltfläche „Abonnieren“ bestätigen Sie, dass Sie unsere gelesen haben und damit einverstanden sind. Datenschutzrichtlinie Und Nutzungsbedingungen
Abonnieren
Facebook Twitter Instagram LinkedIn Pinterest
Kontaktieren Sie uns

Weißrussische Hacker greifen Opposition und Ukraine mit Schadcode über Excel an

Mateo SandstromvonMateo Sandstrom
10. März 2025
Weißrussische Hacker greifen Opposition und Ukraine mit Schadcode über Excel an Weißrussische Hacker greifen Opposition und Ukraine mit Schadcode über Excel an

Ghostwriter-Gruppe Hinter neuen Angriffen. Oppositionelle in Belarus sowie ukrainische Militär- und Regierungsorganisationen sind Ziel einer neuen Kampagne, die Microsoft Excel-Malware-Dokumente als Köder, um eine neue Variante auszuliefern Picassoloader.

Die Bedrohungsgruppe wird als Fortsetzung einer langfristigen Kampagne eines mit Belarus verbündeten Bedrohungsakteurs eingestuft, der als bekannt ist Ghostwriter (alias Moonscape, TA445, UAC-0057 und UNC1151) seit 2016. Es ist bekannt, dass es sich an russischen Sicherheitsinteressen orientiert und Narrative fördert, die Russland kritisieren. NATO.

Kampagnenzeitplan und Aktivierung

“Die Kampagne befindet sich seit Juli/August 2024 in Vorbereitung und ist im November/Dezember 2024 in die aktive Phase eingetreten”, sagte er. SentinelOne-der Forscher Tom Hegel in einem technischen Bericht.

Belarussische Hacker attackieren Opposition und Ukraine mit Schadcode in Excel | IT-Branche
Werbung

Neue Entdeckungen:

  • Malware-Beispiele Die Aktivitäten der Führungs- und Kontrollinfrastruktur (C2) deuten darauf hin, dass die Operation weiterhin aktiv ist.
  • Die Angriffskette beginnt mit einem gemeinsamen Google Drive-Dokument, das ein bösartiges SELTEN-Archiv.
Ein mit Belarus in Verbindung stehender Ghostwriter nutzt mit MacroPack verschleierte Excel-Makros, um Schadsoftware zu verbreiten.

Die Technologie hinter den Angriffen

Excel-Makros als Werkzeuge für Infektionen

Die RAR-Datei enthält Schadsoftware. Excel VBA-Arbeitsmappe, die beim Öffnen Folgendes auslöst verschleiertes Makro. Um Der Benutzer aktiviert das Schreiben von Makros. A DLLDatei an das System, welches wiederum eine vereinfachte Version von Picassoloader.

Steganografie und unsichtbare Malware

In der nächsten Phase, ein Köder-Excel-Datei für das Opfer, während im Hintergrund zusätzliche Schadsoftware heruntergeladen wird. Noch im Juni 2024 wurde dies genutzt. Technik liefern Kobaltschlag-Rahmen.

SentinelOne identifizierten auch andere bewaffnete Personen Excel-Dokument wer benutzt Ukraine-Thema als Köder. Diese Dokumente laden Schadsoftware herunter über Steganographie, wo ein scheinbar harmloser JPG-Bild enthält versteckten Schadcode.

Verwendung von Libcmd und .NET-Downloadern

In einigen Fällen die Infizierten Das Excel-Dokument um eine DLL nach Namen Libcmd, der leitet cmd.exe und verbindet sich mit stdin/stdout. Es wird direkt in den Speicher geladen als .NETTO-Einbinden und Ausführen, ohne Spuren auf der Festplatte zu hinterlassen.

Die Drohungen der Ghostwriter gegen die Ukraine dauern an

“Im Jahr 2024, Ghostwriter wiederholt eine Kombination aus Excel-Arbeitsmappen mit MacroPack-verschleiert VBA-Makros und eingebettet .NET Downloader, sagt Hegel.

Trotz der Tatsache, dass Weißrussland keine militärische Teilnahme am Krieg in Ukraine, Cyberbedrohungsakteure mit Verbindungen zum Land bleiben aktiv in Cyber-Spionageoperationen gegen ukrainische Ziele.

Aktie
Aktie
Pin es
Tweet
Aktie
Aktie
Mateo SandstromvonMateo Sandstrom
Veröffentlicht

Bleiben Sie über die wichtigsten Neuigkeiten auf dem Laufenden

Durch Drücken der Schaltfläche „Abonnieren“ bestätigen Sie, dass Sie unsere gelesen haben und damit einverstanden sind. Datenschutzrichtlinie Und Nutzungsbedingungen
Convendum-Banner
Werbung

MEHR LESEN