Новая хакерская группа UNC1151 активизировала свою деятельность, направив ряд кибератак на государственные органы, военные учреждения и обычных пользователей в Украине и Польше.
Согласно последнему отчету Cisco Talos, вредоносные действия группы начались в апреле 2022 года и продолжаются до сих пор. Основная цель злоумышленников – кража конфиденциальной информации и установление постоянного удаленного доступа к компьютерным системам.
Украинская служба CERT-UA (Computer Emergency Response Team) связывает кибератаки с группой UNC1151 и её кампанией под названием GhostWriter, предположительно связанных с белорусским правительством, как сообщает Cisco Talos.
Методы, применяемые в рамках атак, представляют собой сложную многоэтапную цепочку заражения. Инициализируется она за счет вредоносных документов Excel и PowerPoint, которые содержат скрытые загрузчики исполняемых файлов и встроенные в изображения вредоносные программы, что затрудняет их обнаружение.
Цепочка атаки: приманка побуждает пользователя активировать макросы, заражающие систему
Главной мишенью кибератак являются государственные и военные учреждения Украины и Польши. Хакеры используют техники социальной инженерии, маскируя свои действия под достоверные изображения и тексты.
Целью социальной инженерии является убеждение жертв активировать макросы, что позволяет злоумышленникам запустить цепочку вредоносных действий. По сообщениям, украинские и польские предприятия, а также обычные пользователи стали жертвами этих кампаний, когда открыли таблицы Excel, которые имитируют формы возврата НДС.
Анализ проведенных атак позволил выявить применение хакерами разнообразных вредоносных программ, включая RAT-троян AgentTesla, маяки Cobalt Strike и njRAT. Вредоносы позволяют злоумышленникам похищать информацию и получать удаленный контроль над скомпрометированными системами.
Для минимизации риска кибератак, Cisco Talos настоятельно рекомендует принятие комплексных мер безопасности. В своем отчете компания также предоставила полный перечень признаков компрометации (IoC), связанных с этими угрозами.
В апреле Министерство национальной обороны Польши сообщило о недавней кампании по дезинформации под названием Ghostwriter, которая была связана с предположительно белорусской хакерской группой UNC1151.
Изначально кампания Ghostwriter , была направлена против Польши , Литвы и Латвии, а также Украины. По словам специалистов, хакеры оставили явные цифровые следы. Тогда эксперты Mandiant связали данную кампанию с UNC1151 . UNC1151 также атаковала ряд белорусских СМИ и нескольких представителей политической оппозиции в Беларуссии за год до выборов в 2020 году. В нескольких случаях лица, атакованные UNC1151 перед белорусскими выборами 2020 года, в последствии были арестованы белорусскими властями.
Источник: securitylab.ru