【安全资讯】白俄罗斯黑客组织使用PicassoLoader恶意软件攻击乌克兰机构

概要：

近期，乌克兰的计算机应急响应团队（CERT-UA）发布报告称，一个疑似由白俄罗斯政府支持的黑客组织GhostWriter（追踪编号为UAC-0057）对乌克兰的机构和地方政府进行了网络攻击。此次攻击使用了PicassoLoader恶意软件，目标包括乌克兰的地方政府办公室和美国国际开发署（USAID）的代表。

主要内容：

在本月早些时候的攻击活动中，GhostWriter黑客组织使用了PicassoLoader恶意软件和Cobalt Strike Beacon后门程序，成功感染了乌克兰的多个目标。CERT-UA的研究人员指出，这些攻击的目标主要是地方政府办公室以及负责管理民用外援和发展援助的美国国际开发署代表。

根据CERT-UA的报告，部分网络钓鱼邮件的内容与USAID的Hoverla项目有关，该项目旨在改革乌克兰的地方治理系统。虽然报告没有具体说明此次攻击的目的，但GhostWriter组织主要以网络间谍活动闻名，可能对乌克兰的金融和经济指标、税收以及地方自政府体制改革感兴趣。

GhostWriter组织多次针对乌克兰实体进行攻击。去年七月，该组织使用PicassoLoader攻击了乌克兰的政府机构；今年八月，又使用同样的工具攻击了乌克兰国防大学。今年六月，黑客还攻击了乌克兰国防部和一个军事基地。根据2021年Google旗下Mandiant的报告，GhostWriter与白俄罗斯政府有联系，其活动与白俄罗斯政府的利益一致。研究人员还认为，俄罗斯可能对该组织的活动有一定影响。除了乌克兰，GhostWriter还攻击了乌克兰的盟友，包括立陶宛、拉脱维亚和波兰。