A Ghostwriter régóta ismert, Belaruszhoz és Oroszországhoz köthető fenyegető szereplő, amelynek tevékenysége gyakran politikai és regionális érdekekhez kapcsolódik. A csoport egy Belarusz párti vagy legalábbis Belaruszhoz köthető célpont ellen indított Gmail alapú adathalász támadása mögött egy jóval nagyobb, több országot érintő kampány állt.
A kampány kiindulópontja Yury Hubarevich, belarusz politikus elleni támadás volt. A célpont egy Google-t utánzó e-mailt kapott, amely „gyanús aktivitásra” hivatkozva fiókellenőrzésre próbálta rávenni a felhasználót. Ez a klasszikus phishing minta egyszerre épít sürgetésre, félelemkeltésre és az ismert márkanévbe vetett bizalomra.
A támadók az e-mailben elhelyezett linkről egy kompromittált ukrán weboldalon keresztül irányították a felhasználót egy hamis Google bejelentkező oldalra. A látszólag egyszerű login oldalon a bevitt adatokat valós időben továbbították egy websocketen keresztül, ami lehetővé tette a hitelesítő adatok azonnali begyűjtését.
Az oldal a többfaktoros hitelesítés megkerülésére is készült. Ha a felhasználó 2FA-kódot ad meg, azt is begyűjtik. Ez fontos fejlemény, mert a támadók így SMS-alapú kódokat és authenticator appok által generált egyszer használatos kódokat is el tudnak lopni.
A Hubarevich támadása nem elszigetelt eset volt, hanem egy nagyobb kampány egyik eleme. A vizsgálat több, hasonlóan felépített phishing domaint és tanúsítványt hozott a felszínre, ami Belarusz és Ukrajna felé irányuló aktív credential harvesting műveletre utal. Köztük olyanokra, amelyek Bunny CDN vagy Cloudflare mögé bújtatva működtek. Ez jól mutatja, hogy a támadók tudatosan használják a legitim szolgáltatások rejtőző képességét a detekció és az attribúció nehezítésére.
A kampány nemcsak Gmailt imitált, hanem ukrán portálok hamis oldalait is tartalmazta. Ez arra utal, hogy a támadók dezinformációs kampányban is gondolkodtak. Nem egyetlen személyre vagy egyetlen szolgáltatásra építettek, hanem több népszerű webmail és portálplatformot próbáltak egyszerre kihasználni.
A CERT Polska friss anyaga szintén azt mutatja, hogy a Ghostwriter aktívan folytat phishing kampányokat, és a technikák folyamatosan változnak, miközben a cél ugyanaz marad: fiókhozzáférés megszerzése, majd azon keresztül további célpontok feltérképezése.
A támadók több jellegzetes phishing elemet kombináltak. Az üzenetek általában sürgős hangvételűek voltak, fiókfelfüggesztéssel vagy törléssel fenyegettek, és hivatalos adminisztrátori kommunikációnak próbáltak látszani. A domainek neveit is ennek megfelelően választották meg: olyan szavakat használtak, mint „verify”, „account”, „security” vagy „mail”.
Az is figyelemre méltó, hogy a támadók kompromittált weboldalakat használtak átirányításra és hostingra. Ez sokkal hitelesebbnek tűnhet a felhasználó számára, mint egy frissen regisztrált, gyanús domain.
A Censys elemzése megmutatja, hogy egy látszólag egyedi támadásból hogyan lehet szélesebb kampányt azonosítani tanúsítvány-, domain- és hostingpivots segítségével. Ez a módszer a védekező oldalon is hasznos: segít nemcsak egyetlen IOC-t észlelni, hanem a teljes kampánylogikát megérteni.
Tehát a Ghostwriter továbbra is aktív, célzott és technikailag alkalmazkodó szereplő, amely a klasszikus adathalászatot modern infrastruktúrával és 2FA-kódgyűjtéssel ötvözi.