В рамках кампании Ghostwriter были обнаружены вредоносные макродокументы XLS, связанные с известной белорусской APT-группой.
GhostWriter APT
По результатам анализа было выявлено, что противник использовал несколько доменов, включая ".shop". Аналитики также обратили внимание на наложение регистрации доменов и хостинга, что указывает на использование одних и тех же ресурсов злоумышленником.
Для выявления дополнительных доменов, связанных с противником, можно использовать схему регистрации доменов, зарегистрированных на серверах имен Cloudflare и с расширением ".shop". Было обнаружено до 24 таких доменов, предположительно созданных группой Ghostwriter.
Indicators of Compromise
Domains
- backstagemerch.shop
- bryndonovan.shop
- chaptercheats.shop
- clairedeco.shop
- connecticutchildrens.shop
- disneyfoodblog.shop
- eartheclipse.shop
- empoweringparents.shop
- foampartyhats.shop
- goudieelectric.shop
- ikitas.shop
- jackbenimblekids.shop
- kingarthurbaking.shop
- lansdownecentre.shop
- lauramcinerney.shop
- medicalnewstoday.shop
- moonlightmixes.shop
- penandthepad.shop
- physio-pedia.shop
- semanticscholar.shop
- simonandschuster.shop
- thevegan8.shop
- twisterplussize.shop
- utahsadventurefamily.shop