Rabattilbud med flere licenser
Trusseldatabase Malware PicassoLoader JavaScript-variant

PicassoLoader JavaScript-variant

Med Mezo i Malware, Advanced Persistent Threat (APT)
Oversæt til:

Trusselgruppen kendt som Ghostwriter er blevet forbundet med en ny bølge af cyberangreb rettet mod statslige organisationer i Ukraine. Gruppen, der har været aktiv siden mindst 2016, har opbygget et ry for at udføre både cyberspionage og påvirkningskampagner i hele Østeuropa med et stærkt operationelt fokus på Ukraine og nabostaterne.

Trusselsaktøren spores også under adskillige aliaser, herunder FrostyNeighbor, PUSHCHA, Storm-0257, TA445, UAC-0057, Umbral Bison, UNC1151 og White Lynx. Gennem årene har gruppen løbende forfinet sin infrastruktur, angrebskæder og undvigelsesmetoder i et forsøg på at omgå sikkerhedskontroller og opretholde langsigtet operationel effektivitet.

Konstant udviklende malware-arsenal

Ghostwriter har konsekvent moderniseret sit malware-økosystem og leveringsteknikker. Tidligere kampagner var i høj grad afhængige af PicassoLoader-malwarefamilien, som fungerede som en leveringsmekanisme for yderligere nyttelaster såsom Cobalt Strike Beacon og njRAT.

I slutningen af 2023 udvidede gruppen sine muligheder ved at udnytte WinRAR-sårbarheden CVE-2023-38831 til at distribuere PicassoLoader og Cobalt Strike. Året efter blev polske organisationer mål for en phishing-kampagne, der misbrugte en cross-site scripting-fejl i Roundcube identificeret som CVE-2024-42009. Den ondsindede aktivitet gjorde det muligt for angribere at udføre JavaScript, der var i stand til at indsamle e-mail-legitimationsoplysninger fra ofre.

Kompromitterede konti blev senere brugt til at inspicere indholdet af postkasser, stjæle kontaktlister og distribuere yderligere phishing-beskeder i juni 2025. Ved udgangen af 2025 havde gruppen også integreret avancerede antianalyseteknikker i sine operationer. Visse lokkedokumenter begyndte at bruge dynamisk CAPTCHA-verifikation til selektivt at aktivere den ondsindede infektionskæde og frustrere automatiserede analysemiljøer.

Sofistikerede spear-phishing-kampagner retter sig mod Ukraine

Siden marts 2026 har forskere observeret en ny kampagne rettet mod ukrainske offentlige institutioner gennem spear-phishing-e-mails med ondsindede PDF-vedhæftninger. De lokkende dokumenter udgiver sig for at være den ukrainske telekommunikationsudbyder Ukrtelecom i et forsøg på at fremstå legitim og øge ofrenes engagement.

Angrebskæden er afhængig af indlejrede links i PDF-filerne, der omdirigerer ofrene til et ondsindet RAR-arkiv, der indeholder en JavaScript-baseret nyttelast. Når malwaren er udført, viser den et lokkedokument for at bevare illusionen af legitimitet, mens den lydløst starter en JavaScript-variant af PicassoLoader i baggrunden. Loaderen installerer efterfølgende Cobalt Strike Beacon på kompromitterede systemer.

Geofencing og offervalidering forbedrer stealth

Et af de mest bemærkelsesværdige aspekter af den seneste kampagne er implementeringen af geofencing og lagdelte mekanismer til validering af ofre. Systemer, der opretter forbindelse fra IP-adresser uden for Ukraine, modtager harmløst PDF-indhold i stedet for den ondsindede nyttelast, hvilket reducerer eksponeringen for forskere og automatiserede scanningssystemer betydeligt.

Malwaren udfører også omfattende fingeraftryksanalyse af kompromitterede værter, før den leverer yderligere nyttelast. Indsamlede systemoplysninger transmitteres til angriberkontrolleret infrastruktur hvert tiende minut, hvilket gør det muligt for operatører manuelt at afgøre, om et offer berettiger til yderligere udnyttelse. Først efter at denne valideringsproces er afsluttet, leverer infrastrukturen en JavaScript-dropper i tredje trin, der er ansvarlig for at installere Cobalt Strike Beacon.

Operationen kombinerer automatiserede filtreringsmetoder, herunder brugeragent- og IP-baseret verifikation, med manuel operatørgennemgang, hvilket fremhæver en yderst disciplineret og moden angrebsmetode.

Regional målretningsstrategi udvides i hele Østeuropa

Den nuværende aktivitet synes primært at fokusere på militære, forsvars- og statslige enheder i Ukraine. Operationer tilskrevet Ghostwriter i Polen og Litauen viser dog en bredere målretningsstrategi, der strækker sig ind i flere kritiske sektorer:

  • Industrielle og produktionsorganisationer
  • Sundheds- og farmaceutiske institutioner
  • Logistikudbydere
  • Offentlige myndigheder

Den fortsatte udvikling af Ghostwriters værktøjer, leveringsmekanismer og operationelle sikkerhedspraksis understreger gruppens vedholdenhed og tilpasningsevne. Dens evne til at kombinere tilpassede lokkedokumenter, selektiv levering af nyttelast, antianalyseteknikker og manuel offervalidering demonstrerer en sofistikeret cyberspionagekapacitet designet til at undgå opdagelse og samtidig maksimere den operationelle effekt.

Trending

Mest sete

Indlæser...