Il gruppo di hacker noto come Ghostwriter, collegato alla Bielorussia, è al centro di una nuova campagna che mira a bersagli ucraini e attivisti dell'opposizione in Bielorussia. Utilizzando documenti Excel infetti da malware, questo gruppo sfrutta macro ofuscate per distribuire una variante del malware PicassoLoader. Ghostwriter, operativo dal 2016, è noto per allinearsi con gli interessi di sicurezza russi e promuovere narrazioni critiche nei confronti della NATO.

La campagna

La campagna, pianificata a partire da luglio-agosto 2024 e operativa da novembre-dicembre dello stesso anno, si avvale di documenti condivisi su Google Drive, apparentemente inviati da un account chiamato Vladimir Nikiforech. All'interno dei documenti, un file Excel malevolo, una volta aperto, esegue una macro ofuscata che installa un file DLL. Questo processo consente l'avvio di una versione semplificata di PicassoLoader.

Fasi dell'attacco

In un'altra fase dell'attacco, viene mostrato un file Excel decoy alla vittima, mentre in background vengono scaricati ulteriori payload sul sistema. Questo metodo è stato utilizzato per distribuire il framework di post-sfruttamento Cobalt Strike già a giugno 2024. Inoltre, SentinelOne ha individuato altri documenti Excel armati che utilizzano esche a tema ucraino per scaricare un secondo malware da un URL remoto tramite una tecnica di steganografia, incorporando il malware in un'immagine JPG apparentemente innocua.

Varianti dell'attacco

Un'altra variante dell'attacco prevede l'uso di un documento Excel trappola per distribuire una DLL chiamata LibCMD, progettata per eseguire cmd.exe e connettersi a stdin/stdout, caricata direttamente in memoria come un assembly .NET. Nel 2024, Ghostwriter ha ripetutamente impiegato una combinazione di workbook Excel contenenti macro VBA ofuscate con Macropack e downloader .NET offuscati con ConfuserEx.

Implicazioni e raccomandazioni

Nonostante la Bielorussia non partecipi attivamente a campagne militari nella guerra in Ucraina, gli attori delle minacce informatiche associati sembrano non avere riserve nel condurre operazioni di spionaggio informatico contro obiettivi ucraini. Questo sottolinea l'importanza di una vigilanza continua e di un rafforzamento delle misure di sicurezza informatica per contrastare tali minacce sempre più sofisticate.