Welkom bij IT-Branschen – Het kanaal voor IT-nieuws, cybersecurity en digitale trends

Voor bedrijven, leveranciers en besluitvormers in de IT-sector

Digitale strategie en inzichten voor besluitvormers in de IT-sector

Abonneren

Blijf op de hoogte van het belangrijkste nieuws

Door op de knop Abonneren te klikken, bevestigt u dat u onze voorwaarden hebt gelezen en ermee akkoord gaat. privacybeleid En gebruiksvoorwaarden
Abonneren
Facebook Twitter Instagram LinkedIn Pinterest
Neem contact met ons op

Wit-Russische hackers vallen oppositie en Oekraïne aan met schadelijke code via Excel

Mateo SandstromdoorMateo Sandstrom
10 maart 2025
Wit-Russische hackers vallen oppositie en Oekraïne aan met schadelijke code via Excel Wit-Russische hackers vallen oppositie en Oekraïne aan met schadelijke code via Excel

Ghostwriter groep achter nieuwe aanvallen. Oppositie-activisten in Wit-Rusland, evenals Oekraïense militaire en overheidsorganisaties, zijn het doelwit van een nieuwe campagne met Microsoft Excel-malwaredocumenten als lokaas om een nieuwe variant van Picassoloader.

De dreigingscluster wordt gezien als een verlengstuk van een langetermijncampagne die is opgezet door een aan Wit-Rusland gelieerde dreigingsactor die bekendstaat als Ghostwriter (alias Maanlandschap, TA445, UAC-0057 en UNC1151) sinds 2016. Het is bekend dat het zich aansluit bij de Russische veiligheidsbelangen en kritische verhalen promoot over NAVO.

Campagnetijdlijn en activering

“"De campagne is sinds juli-augustus 2024 in voorbereiding en is in november-december 2024 de actieve fase ingegaan", zei hij. SentinelOne-de onderzoeker Tom Hegel in een technisch rapport.

Wit-Russische hackers vallen oppositie en Oekraïne aan met schadelijke code via Excel | IT-industrie
Advertentie

Nieuwe ontdekkingen:

  • Malware-voorbeelden en de command-and-control (C2) infrastructuuractiviteit suggereert dat de operatie actief blijft.
  • De aanvalsketen begint met een gedeelde Google Drive-document, dat een kwaadaardige host ZELDZAAM-archieven.
Ghostwriter met banden met Wit-Rusland gebruikt MacroPack-versleutelde Excel-macro's om malware te verspreiden

De technologie achter de aanvallen

Excel-macro's als hulpmiddelen voor infectie

Het RAR-bestand bevat een kwaadaardige Excel VBA-werkmap, die bij het openen een verduisterde macro. Over de gebruiker maakt het mogelijk om macro's te schrijven A DLLbestand naar het systeem, dat op zijn beurt een vereenvoudigde versie van Picassoloader.

Steganografie en onzichtbare malware

In de volgende fase wordt een Decoy Excel-bestand voor het slachtoffer, terwijl op de achtergrond extra payloads worden gedownload. Nog in juni 2024 werd dit gebruikt techniek bezorgen Kobaltaanval-kader.

SentinelOne identificeerde ook andere gewapende Excel-document wie gebruikt Oekraïne-thema als lokaas. Deze documenten downloaden malware via steganografie, waar een schijnbaar onschadelijke JPG-afbeelding bevat verborgen schadelijke code.

Libcmd- en .NET-downloaders gebruiken

In sommige gevallen is de geïnfecteerde Het Excel-document om een DLL bij naam Libcmd, die rent cmd.exe en maakt verbinding met stdin/stdout. Het wordt direct in het geheugen geladen als een .NETTO-monteren en uitvoeren zonder sporen op de schijf achter te laten.

Aanhoudende bedreigingen van ghostwriters tegen Oekraïne

“In 2024, Ghostwriter herhaaldelijk een combinatie van gebruikt Excel-werkmappen met MacroPack-verduisterd VBA-macro's en ingebed .NET-downloader, zegt Hegel.

Ondanks het feit dat Wit-Rusland niet militair deelnemen aan de oorlog in Oekraïne, cyberdreigingsactoren die aan het land verbonden zijn, blijven actief in cyberespionageoperaties tegen Oekraïense doelen.

Deel
Deel
Vastzetten
Tweeten
Deel
Deel
Mateo SandstromdoorMateo Sandstrom
Gepubliceerd

Blijf op de hoogte van het belangrijkste nieuws

Door op de knop Abonneren te klikken, bevestigt u dat u onze voorwaarden hebt gelezen en ermee akkoord gaat. privacybeleid En gebruiksvoorwaarden
convendumbanner
Advertentie

LEES MEER