Slevová nabídka pro více licencí
Databáze hrozeb Malware Varianta JavaScriptu PicassoLoaderu

Varianta JavaScriptu PicassoLoaderu

V roce Mezo v roce Malware, Pokročilá trvalá hrozba (APT)
Přeložit do:

Skupina kybernetických útoků známá jako Ghostwriter je spojována s novou vlnou kybernetických útoků zaměřených na vládní organizace na Ukrajině. Skupina, která je aktivní nejméně od roku 2016, si vybudovala reputaci v oblasti kybernetické špionáže a vlivových kampaní po celé východní Evropě, se silným operačním zaměřením na Ukrajinu a sousední státy.

Útočník je také sledován pod několika přezdívkami, včetně FrostyNeighbor, PUSHCHA, Storm-0257, TA445, UAC-0057, Umbral Bison, UNC1151 a White Lynx. V průběhu let skupina neustále zdokonalovala svou infrastrukturu, útočné řetězce a metody úniku ve snaze obejít bezpečnostní kontroly a udržet si dlouhodobou operační efektivitu.

Neustále se vyvíjející arzenál malwaru

Ghostwriter důsledně modernizoval svůj ekosystém malwaru a techniky jeho doručování. Dřívější kampaně se silně spoléhaly na rodinu malwaru PicassoLoader, která fungovala jako mechanismus pro doručování dalších datových souborů, jako například Cobalt Strike Beacon a njRAT.

Koncem roku 2023 skupina rozšířila své možnosti zneužitím zranitelnosti WinRAR CVE-2023-38831 k distribuci programů PicassoLoader a Cobalt Strike. V následujícím roce se polské organizace staly terčem phishingové kampaně, která zneužívala chybu cross-site scripting v Roundcube, identifikovanou jako CVE-2024-42009. Škodlivá aktivita umožnila útočníkům spustit JavaScript schopný získat e-mailové přihlašovací údaje od obětí.

Kompromitované účty byly později v červnu 2025 použity k prohlížení obsahu poštovních schránek, krádeži seznamů kontaktů a distribuci dalších phishingových zpráv. Do konce roku 2025 skupina také integrovala do svých operací pokročilé techniky antianalýzy. Některé lákavé dokumenty začaly používat dynamické ověřování CAPTCHA k selektivní aktivaci řetězce škodlivé infekce a maření automatizovaných analytických prostředí.

Sofistikované phishingové kampaně cílí na Ukrajinu

Od března 2026 vědci pozorují novou kampaň namířenou proti ukrajinským vládním institucím prostřednictvím phishingových e-mailů se škodlivými PDF přílohami. Falešné dokumenty se vydávají za ukrajinského telekomunikačního poskytovatele Ukrtelecom ve snaze působit legitimně a zvýšit zapojení obětí.

Útočný řetězec se spoléhá na vložené odkazy v souborech PDF, které přesměrují oběti do škodlivého archivu RAR obsahujícího datový obsah založený na JavaScriptu. Po spuštění malware zobrazí návnadový dokument, aby si zachoval iluzi legitimity, a zároveň na pozadí tiše spouští variantu PicassoLoaderu v JavaScriptu. Zavaděč následně nasadí na napadené systémy Cobalt Strike Beacon.

Geofencing a validace obětí vylepšují utajení

Jedním z nejpozoruhodnějších aspektů nejnovější kampaně je implementace geofencingu a mechanismů ověření obětí na základě vrstev. Systémy připojující se z IP adres mimo Ukrajinu dostávají místo škodlivého obsahu neškodný PDF obsah, což výrazně snižuje vystavení výzkumníkům a automatizovaným skenovacím systémům.

Malware také provádí rozsáhlé otisky prstů napadených hostitelů před dodáním dalších dat. Shromážděné systémové informace jsou každých deset minut přenášeny do infrastruktury ovládané útočníkem, což umožňuje operátorům ručně určit, zda si oběť zaslouží další zneužití. Teprve po dokončení tohoto ověřovacího procesu infrastruktura doručí třetí fázi JavaScriptového dropperu, který je zodpovědný za instalaci Cobalt Strike Beacon.

Tato operace kombinuje automatizované metody filtrování, včetně ověřování uživatelských agentů a IP adres, s manuální kontrolou operátorem, což zdůrazňuje vysoce disciplinovanou a vyspělou metodologii útoku.

Regionální strategie cílení se rozšiřuje po celé východní Evropě

Současná aktivita se zřejmě zaměřuje především na vojenské, obranné a vládní subjekty na Ukrajině. Operace připisované Ghostwriterovi v Polsku a Litvě však prokazují širší strategii cílení, která sahá do několika kritických sektorů:

  • Průmyslové a výrobní organizace
  • Zdravotnické a farmaceutické instituce
  • Poskytovatelé logistiky
  • Vládní agentury

Neustálý vývoj nástrojů, mechanismů doručování a postupů operační bezpečnosti Ghostwriteru podtrhuje vytrvalost a přizpůsobivost skupiny. Její schopnost kombinovat přizpůsobené lákavé dokumenty, selektivní doručování obsahu, techniky anti-analýzy a manuální ověřování obětí demonstruje sofistikovanou schopnost kybernetické špionáže, která je navržena tak, aby se vyhnula odhalení a zároveň maximalizovala operační dopad.

Trendy

Upozornění na doručitelnost e-mailů – podvod s e-maily

Phishing, Spam
S neočekávanými e-maily je třeba vždy zacházet opatrně, zejména pokud vyvolávají pocit naléhavosti nebo požadují citlivé informace. Kyberzločinci často maskují phishingové zprávy jako legitimní oznámení od důvěryhodných poskytovatelů služeb ve snaze oklamat příjemce a přimět je k odhalení osobních údajů. Jasným příkladem této taktiky jsou tzv. e-maily s upozorněním na doručitelnost. Tyto zprávy...

Nejvíce shlédnuto

Načítání...