近期，乌克兰CERT-UA发现与白俄罗斯有关的GhostWriter APT组织进行的鱼叉式网络钓鱼活动，该组织通过Cobalt Strike Beacon恶意软件来攻击乌克兰国家实体。这次的网络钓鱼邮件使用名为“Saboteurs.rar”的RAR存档，其中包含RAR存档“Saboteurs 21.03.rar”。第二个存档包含SFX存档“Saboteurs filercs.rar”，专家声称这些文件名通过使用RTLO技巧来掩盖真正的文档扩展名。CERT-UA在发布的公告中表示：“该档案包含诱饵文档和图像，以及VBScript代码 (Thumbs.db)，它将创建和运行.NET 程序“dhdhk0k34.com”，只有当Cobalt Strike Beacon被传播，攻击链才会结束，其中“injector”文档（“inject.exe”）的编译日期为 2022 年3月15日。

2021年11月，Mandiant 威胁情报研究人员将Ghostwriter虚假信息活动（又名 UNC1151）与白俄罗斯政府联系起来。2020 8月，FireEye 的安全专家发现了一场虚假宣传活动，该活动旨在通过在受感染的新闻网站上传播虚假新闻内容来诋毁北约。根据FireEye的调查，该活动来自于GhostWriter组织，并且至少自2017 年 3月以来就一直在进行，同时该组织策划的活动符合俄罗斯的安全利益。

与其他虚假信息活动不同，GhostWriter不通过社交网络传播，相反，该活动背后的威胁者滥用新闻网站的受损内容管理系统(CMS)或欺骗性电子邮件帐户来传播假新闻。Ghostwriter 背后的运营商在2020年选举前针对白俄罗斯实体，一些威胁行为者针对的人（白俄罗斯反对派代表）后来被白俄罗斯政府逮捕。研究人员收集的敏感技术信息表明，威胁行为者在白俄罗斯军方的控制下从白俄罗斯明斯克开展活动。

参考来源：https://securityaffairs.co/wordpress/129527/apt/ghostwriter-apt-targets-state-entities-of-ukraine-with-cobalt-strike-beacon.html