【安全资讯】Ghostwriter使用PicassoLoader恶意软件攻击乌克兰

概要：

近期，白俄罗斯关联的APT组织Ghostwriter针对乌克兰展开了一系列网络攻击，使用名为PicassoLoader的恶意软件进行攻击。乌克兰政府的计算机应急响应小组（CERT-UA）报告了这一威胁，并指出攻击活动在2024年7月12日至18日期间显著增加。

主要内容：

根据CERT-UA的报告，Ghostwriter组织通过分发包含宏的文档来传播PicassoLoader恶意软件，这些文档涉及地方政府改革、税收和金融经济指标等主题。一旦受害者打开这些文档，宏便会部署PicassoLoader恶意软件，随后该恶意软件会进一步传送后期利用工具Cobalt Strike Beacon。

此次攻击活动可能是针对乌克兰政府的更广泛网络间谍活动的一部分。Ghostwriter组织此前也曾在2020年8月被FireEye安全专家揭露，其通过假新闻内容在被攻陷的新闻网站上进行虚假信息传播，旨在抹黑北约。与其他虚假信息传播活动不同，Ghostwriter并不依赖社交网络，而是利用被攻陷的内容管理系统（CMS）或伪造的电子邮件账户来传播虚假新闻。

Ghostwriter组织在2020年白俄罗斯选举前曾针对白俄罗斯实体进行攻击，一些被国家级黑客攻击的白俄罗斯反对派代表后来被白俄罗斯政府逮捕。此次针对乌克兰的攻击活动表明，Ghostwriter组织的网络间谍活动仍在继续，并且其攻击手段和目标也在不断演变。

总的来说，Ghostwriter组织的攻击不仅对乌克兰政府构成了严重威胁，还可能对其他国家和地区的政府部门和金融机构造成潜在影响。