研究人员揭秘 Ghostwriter APT 攻击基础设施

据Cybersecuritynews消息，安全研究人员揭露了 Ghostwriter APT 组织发动网络攻击的基础设施。该组织自 2016 年起活跃，主要针对乌克兰等东欧国家搞网络间谍和造谣活动。多机构合作分析发现，其常用 “.shop” 域名，通过 PublicDomainRegistry 注册，用 Cloudflare 服务器。还确定了至少 24 个相关域名，攻击常以带恶意 XLS 宏文档的钓鱼邮件开头，下载恶意 DLL 文件，部署 Cobalt Strike Beacons，此次发现有助于制定更好的检测和防范策略。