Παραλλαγή JavaScript του PicassoLoader
Η ομάδα απειλών, γνωστή ως Ghostwriter, έχει συνδεθεί με ένα νέο κύμα κυβερνοεπιθέσεων που στοχεύουν κυβερνητικούς οργανισμούς στην Ουκρανία. Ενεργή τουλάχιστον από το 2016, η ομάδα έχει χτίσει τη φήμη της για τη διεξαγωγή τόσο κυβερνοκατασκοπείας όσο και εκστρατειών επιρροής σε όλη την Ανατολική Ευρώπη, με ισχυρή επιχειρησιακή εστίαση στην Ουκρανία και τα γειτονικά κράτη.
Ο απειλητικός παράγοντας παρακολουθείται επίσης με διάφορα ψευδώνυμα, όπως FrostyNeighbor, PUSHCHA, Storm-0257, TA445, UAC-0057, Umbral Bison, UNC1151 και White Lynx. Με την πάροδο των ετών, η ομάδα έχει βελτιώσει συνεχώς την υποδομή της, τις αλυσίδες επίθεσης και τις μεθόδους αποφυγής, σε μια προσπάθεια να παρακάμψει τους ελέγχους ασφαλείας και να διατηρήσει μακροπρόθεσμη επιχειρησιακή αποτελεσματικότητα.
Πίνακας περιεχομένων
Συνεχώς εξελισσόμενο οπλοστάσιο κακόβουλου λογισμικού
Το Ghostwriter έχει εκσυγχρονίσει με συνέπεια το οικοσύστημα κακόβουλου λογισμικού και τις τεχνικές παράδοσης. Οι προηγούμενες καμπάνιες βασίζονταν σε μεγάλο βαθμό στην οικογένεια κακόβουλου λογισμικού PicassoLoader, η οποία λειτουργούσε ως μηχανισμός παράδοσης για πρόσθετα ωφέλιμα φορτία όπως το Cobalt Strike Beacon και το njRAT.
Στα τέλη του 2023, η ομάδα επέκτεινε τις δυνατότητές της εκμεταλλευόμενη την ευπάθεια CVE-2023-38831 του WinRAR για τη διανομή των PicassoLoader και Cobalt Strike. Το επόμενο έτος, πολωνικοί οργανισμοί έγιναν στόχοι μιας εκστρατείας ηλεκτρονικού "ψαρέματος" (phishing) που καταχράστηκε ένα σφάλμα cross-site scripting στο Roundcube που αναγνωρίστηκε ως CVE-2024-42009. Η κακόβουλη δραστηριότητα επέτρεψε στους εισβολείς να εκτελέσουν JavaScript ικανό να συλλέξει διαπιστευτήρια email από τα θύματα.
Οι παραβιασμένοι λογαριασμοί χρησιμοποιήθηκαν αργότερα για την επιθεώρηση περιεχομένου γραμματοκιβωτίων, την κλοπή λιστών επαφών και τη διανομή πρόσθετων μηνυμάτων ηλεκτρονικού "ψαρέματος" (phishing) κατά τη διάρκεια του Ιουνίου 2025. Μέχρι το τέλος του 2025, η ομάδα είχε επίσης ενσωματώσει προηγμένες τεχνικές κατά της ανάλυσης στις δραστηριότητές της. Ορισμένα έγγραφα παραπλάνησης άρχισαν να χρησιμοποιούν δυναμική επαλήθευση CAPTCHA για να ενεργοποιήσουν επιλεκτικά την κακόβουλη αλυσίδα μόλυνσης και να αποτρέψουν τα αυτοματοποιημένα περιβάλλοντα ανάλυσης.
Εξελιγμένες καμπάνιες ηλεκτρονικού “ψαρέματος” (spear-phishing) στοχεύουν την Ουκρανία
Από τον Μάρτιο του 2026, οι ερευνητές έχουν παρατηρήσει μια νέα εκστρατεία που απευθύνεται σε ουκρανικά κυβερνητικά ιδρύματα μέσω email spear-phishing που περιέχουν κακόβουλα συνημμένα PDF. Τα παραπλανητικά έγγραφα μιμούνται τον ουκρανικό πάροχο τηλεπικοινωνιών Ukrtelecom σε μια προσπάθεια να εμφανιστούν νόμιμοι και να αυξήσουν την εμπλοκή των θυμάτων.
Η αλυσίδα επίθεσης βασίζεται σε ενσωματωμένους συνδέσμους μέσα στα αρχεία PDF που ανακατευθύνουν τα θύματα σε ένα κακόβουλο αρχείο RAR που περιέχει ένα ωφέλιμο φορτίο που βασίζεται σε JavaScript. Μόλις εκτελεστεί, το κακόβουλο λογισμικό εμφανίζει ένα έγγραφο-δόλωμα για να διατηρήσει την ψευδαίσθηση της νομιμότητας, ενώ εκκινεί σιωπηλά μια παραλλαγή JavaScript του PicassoLoader στο παρασκήνιο. Στη συνέχεια, ο φορτωτής αναπτύσσει το Cobalt Strike Beacon σε παραβιασμένα συστήματα.
Το Geofencing και η Επικύρωση Θύματος Ενισχύουν την Αθόρυβη Λειτουργία
Μία από τις πιο αξιοσημείωτες πτυχές της τελευταίας εκστρατείας είναι η εφαρμογή μηχανισμών γεωγραφικής περίφραξης και επικύρωσης θυμάτων σε επίπεδα. Τα συστήματα που συνδέονται από διευθύνσεις IP εκτός Ουκρανίας λαμβάνουν ακίνδυνο περιεχόμενο PDF αντί για το κακόβουλο ωφέλιμο φορτίο, μειώνοντας σημαντικά την έκθεση σε ερευνητές και αυτοματοποιημένα συστήματα σάρωσης.
Το κακόβουλο λογισμικό εκτελεί επίσης εκτεταμένη λήψη δακτυλικών αποτυπωμάτων από παραβιασμένους κεντρικούς υπολογιστές πριν από την παράδοση πρόσθετων ωφέλιμων φορτίων. Οι συλλεγόμενες πληροφορίες συστήματος μεταδίδονται σε υποδομή που ελέγχεται από τον εισβολέα κάθε δέκα λεπτά, επιτρέποντας στους χειριστές να προσδιορίζουν χειροκίνητα εάν ένα θύμα δικαιολογεί περαιτέρω εκμετάλλευση. Μόνο μετά την ολοκλήρωση αυτής της διαδικασίας επικύρωσης, η υποδομή παρέχει ένα πρόγραμμα απόθεσης JavaScript τρίτου σταδίου υπεύθυνο για την εγκατάσταση του Cobalt Strike Beacon.
Η λειτουργία συνδυάζει αυτοματοποιημένες μεθόδους φιλτραρίσματος, συμπεριλαμβανομένης της επαλήθευσης μέσω user-agent και IP, με χειροκίνητη αναθεώρηση από τον χειριστή, αναδεικνύοντας μια εξαιρετικά πειθαρχημένη και ώριμη μεθοδολογία επίθεσης.
Η Στρατηγική Περιφερειακής Στόχευσης Επεκτείνεται σε όλη την Ανατολική Ευρώπη
Η τρέχουσα δραστηριότητα φαίνεται να επικεντρώνεται κυρίως σε στρατιωτικούς, αμυντικούς και κυβερνητικούς φορείς στην Ουκρανία. Ωστόσο, οι επιχειρήσεις που αποδίδονται στον Ghostwriter στην Πολωνία και τη Λιθουανία καταδεικνύουν μια ευρύτερη στρατηγική στόχευσης που εκτείνεται σε πολλαπλούς κρίσιμους τομείς:
- Βιομηχανικοί και κατασκευαστικοί οργανισμοί
- Ιδρύματα υγειονομικής περίθαλψης και φαρμακευτικά ιδρύματα
- Πάροχοι εφοδιαστικής
- Κυβερνητικές υπηρεσίες
Η συνεχής εξέλιξη των εργαλείων, των μηχανισμών παράδοσης και των πρακτικών επιχειρησιακής ασφάλειας του Ghostwriter υπογραμμίζει την επιμονή και την προσαρμοστικότητα της ομάδας. Η ικανότητά της να συνδυάζει προσαρμοσμένα έγγραφα δολώματος, επιλεκτική παράδοση ωφέλιμου φορτίου, τεχνικές κατά της ανάλυσης και χειροκίνητη επικύρωση θυμάτων καταδεικνύει μια εξελιγμένη ικανότητα κυβερνοκατασκοπείας σχεδιασμένη να αποφεύγει τον εντοπισμό, μεγιστοποιώντας παράλληλα τον επιχειρησιακό αντίκτυπο.
