Оферта за отстъпка за множество лицензи
База данни за заплахи Зловреден софтуер JavaScript вариант на PicassoLoader

JavaScript вариант на PicassoLoader

До Mezo през Зловреден софтуер, Усъвършенствана постоянна заплаха (APT)г
Превод на:

Групата за кибератаки, известна като Ghostwriter, е свързана с нова вълна от кибератаки, насочени към правителствени организации в Украйна. Активна поне от 2016 г., групата си е изградила репутация за провеждане както на кибершпионаж, така и на кампании за влияние в цяла Източна Европа, със силен оперативен фокус върху Украйна и съседните държави.

Злоумишленикът е проследяван и под няколко псевдонима, включително FrostyNeighbor, PUSHCHA, Storm-0257, TA445, UAC-0057, Umbral Bison, UNC1151 и White Lynx. През годините групата непрекъснато е усъвършенствала своята инфраструктура, вериги за атаки и методи за избягване в опит да заобиколи контрола за сигурност и да поддържа дългосрочна оперативна ефективност.

Постоянно развиващ се арсенал от зловреден софтуер

Ghostwriter постоянно модернизира своята екосистема от зловреден софтуер и техники за доставяне. По-ранни кампании разчитаха до голяма степен на семейството зловреден софтуер PicassoLoader, което функционираше като механизъм за доставяне на допълнителни полезни товари, като Cobalt Strike Beacon и njRAT.

В края на 2023 г. групата разшири възможностите си, като използва уязвимостта CVE-2023-38831 в WinRAR, за да разпространява PicassoLoader и Cobalt Strike. На следващата година полски организации станаха мишена на фишинг кампания, която злоупотребяваше с уязвимост в Roundcube, идентифицирана като CVE-2024-42009, свързана с междусайтови скриптове. Злонамерената активност позволи на нападателите да изпълняват JavaScript код, способен да събира имейл идентификационни данни от жертвите.

По-късно през юни 2025 г. компрометирани акаунти бяха използвани за проверка на съдържанието на пощенски кутии, кражба на списъци с контакти и разпространение на допълнителни фишинг съобщения. До края на 2025 г. групата интегрира и усъвършенствани техники за антианализ в своите операции. Някои примамливи документи започнаха да използват динамична CAPTCHA проверка, за да активират избирателно веригата на злонамерена инфекция и да осуетят автоматизираните среди за анализ.

Сложни фишинг кампании са насочени към Украйна

От март 2026 г. насам изследователи наблюдават нова кампания, насочена към украинските държавни институции, чрез фишинг имейли, съдържащи злонамерени PDF прикачени файлове. Документите примамки се представят за украинския телекомуникационен доставчик Ukrtelecom в опит да изглеждат легитимни и да увеличат ангажираността на жертвите.

Веригата за атаки разчита на вградени връзки в PDF файловете, които пренасочват жертвите към злонамерен RAR архив, съдържащ JavaScript-базиран полезен товар. След като се изпълни, зловредният софтуер показва документ-примамка, за да запази илюзията за легитимност, като същевременно тихо стартира JavaScript вариант на PicassoLoader във фонов режим. Впоследствие зареждащият софтуер внедрява Cobalt Strike Beacon на компрометирани системи.

Геозонирането и валидирането на жертвите подобряват стелт функцията

Един от най-забележителните аспекти на последната кампания е внедряването на геозониране и многопластови механизми за валидиране на жертвите. Системите, свързващи се от IP адреси извън Украйна, получават безобидно PDF съдържание вместо злонамерен полезен товар, което значително намалява излагането на риск на изследователи и автоматизирани системи за сканиране.

Зловредният софтуер също така извършва обширно снемане на пръстови отпечатъци на компрометираните хостове, преди да достави допълнителни полезни товари. Събраната системна информация се предава на контролирана от нападателя инфраструктура на всеки десет минути, което позволява на операторите ръчно да определят дали жертвата заслужава по-нататъшна експлоатация. Едва след като този процес на валидиране приключи, инфраструктурата доставя JavaScript dropper на трети етап, отговорен за инсталирането на Cobalt Strike Beacon.

Операцията комбинира автоматизирани методи за филтриране, включително проверка на потребителски агент и IP адрес, с ръчен преглед от оператора, което подчертава високо дисциплинирана и зряла методология за атака.

Регионалната стратегия за таргетиране се разширява в Източна Европа

Настоящата дейност изглежда е фокусирана предимно върху военни, отбранителни и правителствени структури в Украйна. Операциите, приписвани на Ghostwriter в Полша и Литва, обаче демонстрират по-широка стратегия за насочване, която се простира в множество критични сектори:

  • Промишлени и производствени организации
  • Здравни и фармацевтични институции
  • Доставчици на логистика
  • Правителствени агенции

Непрекъснатото развитие на инструментите, механизмите за доставка и практиките за оперативна сигурност на Ghostwriter подчертава упоритостта и адаптивността на групата. Способността ѝ да комбинира персонализирани документи за примамка, селективно доставяне на полезен товар, техники за анти-анализ и ръчно валидиране на жертвите демонстрира усъвършенствана способност за кибершпионаж, предназначена да избегне откриването, като същевременно максимизира оперативното въздействие.

Тенденция

Предупреждение за доставяне на имейли Измама с имейли

Фишинг, Спам
Неочакваните имейли винаги трябва да се третират с повишено внимание, особено когато създават усещане за неотложност или изискват чувствителна информация. Киберпрестъпниците често маскират фишинг съобщения като легитимни известия от доверени доставчици на услуги в опит да заблудят получателите и да ги накарат да разкрият лични данни. Така наречените имейли с „Предупреждение за доставяне на...

Dologymant.co.in

Измамни уебсайтове, Рекламен софтуер, Похитители на браузъри
Непредпазливото сърфиране в интернет може да изложи потребителите на широк спектър от кибер заплахи. Измамническите уебсайтове често разчитат на подвеждащи техники, предназначени да манипулират...

Най-гледан

Зареждане...