نسخة جافا سكريبت من PicassoLoader
ارتبطت مجموعة التهديد المعروفة باسم "غوست رايتر" بموجة جديدة من الهجمات الإلكترونية التي تستهدف المنظمات الحكومية في أوكرانيا. وتنشط هذه المجموعة منذ عام 2016 على الأقل، وقد اكتسبت سمعة طيبة في تنفيذ حملات التجسس الإلكتروني والتأثير في جميع أنحاء أوروبا الشرقية، مع تركيز عملياتي قوي على أوكرانيا والدول المجاورة.
يتم تتبع الجهة المهاجمة أيضاً تحت عدة أسماء مستعارة، منها FrostyNeighbor وPUSHCHA وStorm-0257 وTA445 وUAC-0057 وUmbral Bison وUNC1151 وWhite Lynx. وعلى مر السنين، عملت المجموعة باستمرار على تحسين بنيتها التحتية وسلاسل هجماتها وأساليب التهرب منها في محاولة لتجاوز الضوابط الأمنية والحفاظ على فعاليتها التشغيلية على المدى الطويل.
جدول المحتويات
ترسانة برمجيات خبيثة متطورة باستمرار
دأبت شركة Ghostwriter على تحديث نظامها البيئي للبرمجيات الخبيثة وتقنيات توصيلها. واعتمدت حملاتها السابقة بشكل كبير على عائلة برمجيات PicassoLoader الخبيثة، التي كانت بمثابة آلية توصيل لحمولات إضافية مثل Cobalt Strike Beacon و njRAT.
في أواخر عام 2023، وسّعت المجموعة نطاق عملياتها باستغلال ثغرة أمنية في برنامج WinRAR تحمل الرقم CVE-2023-38831، لنشر برنامجي PicassoLoader وCobalt Strike الخبيثين. وفي العام التالي، استُهدفت منظمات بولندية بحملة تصيّد استغلت ثغرة أمنية في برنامج Roundcube تُعرف باسم CVE-2024-42009، تسمح بتنفيذ هجمات برمجية خبيثة عبر المواقع. وقد مكّن هذا النشاط الخبيث المهاجمين من تنفيذ برمجيات جافا سكريبت قادرة على سرقة بيانات اعتماد البريد الإلكتروني من الضحايا.
استُخدمت الحسابات المخترقة لاحقًا لفحص محتويات صناديق البريد، وسرقة قوائم جهات الاتصال، وتوزيع رسائل تصيّد احتيالي إضافية خلال شهر يونيو/حزيران 2025. وبحلول نهاية عام 2025، كانت المجموعة قد دمجت أيضًا تقنيات متقدمة مضادة للتحليل في عملياتها. وبدأت بعض المستندات الجاذبة باستخدام التحقق الديناميكي من CAPTCHA لتفعيل سلسلة العدوى الخبيثة بشكل انتقائي وإحباط بيئات التحليل الآلي.
حملات تصيد احتيالي متطورة تستهدف أوكرانيا
منذ مارس 2026، رصد الباحثون حملة جديدة تستهدف المؤسسات الحكومية الأوكرانية عبر رسائل بريد إلكتروني مُضللة تحمل مرفقات PDF خبيثة. تنتحل هذه المستندات صفة شركة الاتصالات الأوكرانية "أوكرتيليكوم" في محاولة لإضفاء الشرعية على نفسها وزيادة تفاعل الضحايا.
تعتمد سلسلة الهجوم على روابط مضمنة في ملفات PDF تُعيد توجيه الضحايا إلى أرشيف RAR خبيث يحتوي على حمولة برمجية تعتمد على جافا سكريبت. بمجرد تشغيلها، تعرض البرمجية الخبيثة مستندًا وهميًا للحفاظ على مظهر الشرعية، بينما تُشغّل في الخلفية نسخة جافا سكريبت من برنامج PicassoLoader. يقوم برنامج التحميل بعد ذلك بنشر برنامج Cobalt Strike Beacon على الأنظمة المخترقة.
تعزيز التخفي من خلال تحديد المواقع الجغرافية والتحقق من هوية الضحية
من أبرز جوانب الحملة الأخيرة تطبيق تقنية تحديد الموقع الجغرافي وآليات التحقق المتعددة المستويات من هوية الضحايا. إذ تتلقى الأنظمة المتصلة من عناوين IP خارج أوكرانيا محتوى PDF غير ضار بدلاً من الحمولة الخبيثة، مما يقلل بشكل كبير من تعرضها للباحثين وأنظمة المسح الآلي.
يقوم البرنامج الخبيث أيضًا بتحليل شامل لبصمات الأجهزة المخترقة قبل إرسال حمولات إضافية. تُرسل معلومات النظام المُجمّعة إلى بنية تحتية يتحكم بها المهاجم كل عشر دقائق، مما يُمكّن المشغلين من تحديد ما إذا كان الضحية يستحق المزيد من الاستغلال. بعد اكتمال عملية التحقق هذه، تُرسل البنية التحتية برنامجًا برمجيًا من نوع جافا سكريبت مسؤولًا عن تثبيت برنامج Cobalt Strike Beacon.
تجمع العملية بين أساليب التصفية الآلية، بما في ذلك التحقق من وكيل المستخدم والتحقق القائم على عنوان IP، مع مراجعة المشغل اليدوية، مما يسلط الضوء على منهجية هجوم منضبطة وناضجة للغاية.
استراتيجية الاستهداف الإقليمي تتوسع في جميع أنحاء أوروبا الشرقية
يبدو أن النشاط الحالي يركز بشكل أساسي على الكيانات العسكرية والدفاعية والحكومية في أوكرانيا. ومع ذلك، فإن العمليات المنسوبة إلى منظمة "غوست رايتر" في بولندا وليتوانيا تُظهر استراتيجية استهداف أوسع تمتد إلى قطاعات حيوية متعددة.
- المنظمات الصناعية والتصنيعية
- المؤسسات الصحية والصيدلانية
- مقدمو الخدمات اللوجستية
- الهيئات الحكومية
يؤكد التطور المستمر لأدوات Ghostwriter وآليات التسليم وممارسات الأمن التشغيلي على مثابرة المجموعة وقدرتها على التكيف. وتُظهر قدرتها على الجمع بين وثائق الإغراء المُخصصة، والتسليم الانتقائي للحمولة، وتقنيات مكافحة التحليل، والتحقق اليدوي من هوية الضحية، قدرةً متطورةً على التجسس الإلكتروني مصممةً لتجنب الكشف مع تحقيق أقصى قدر من التأثير التشغيلي.
