PicassoLoader JavaScripti variant
Ghostwriteri nime all tuntud ohurühmitust on seostatud uue küberrünnakute lainega, mis on suunatud Ukraina valitsusasutuste vastu. Vähemalt alates 2016. aastast tegutsev rühmitus on loonud maine nii küberspionaaži kui ka mõjutuskampaaniate läbiviijana kogu Ida-Euroopas, kusjuures tugev operatiivne fookus on Ukrainal ja naaberriikidel.
Ohutegelast jälgitakse ka mitme varjunime all, sealhulgas FrostyNeighbor, PUSHCHA, Storm-0257, TA445, UAC-0057, Umbral Bison, UNC1151 ja White Lynx. Aastate jooksul on rühmitus pidevalt täiustanud oma infrastruktuuri, rünnakuahelaid ja rünnakutest kõrvalehoidumise meetodeid, et turvakontrollidest mööda hiilida ja säilitada pikaajaline operatiivne efektiivsus.
Sisukord
Pidevalt arenev pahavara arsenal
Ghostwriter on järjepidevalt kaasajastanud oma pahavara ökosüsteemi ja edastustehnikaid. Varasemad kampaaniad tuginesid suuresti PicassoLoaderi pahavara perekonnale, mis toimis edastusmehhanismina täiendavatele kasulikele programmidele, nagu Cobalt Strike Beacon ja njRAT.
2023. aasta lõpus laiendas rühmitus oma võimeid, kasutades ära WinRAR-i haavatavust CVE-2023-38831, et levitada PicassoLoaderit ja Cobalt Strike'i. Järgmisel aastal said Poola organisatsioonidest andmepüügikampaania sihtmärgid, mis kuritarvitas Roundcube'i saidiülest skriptimisviga, mis tuvastati kui CVE-2024-42009. Pahatahtlik tegevus võimaldas ründajatel käivitada JavaScripti, mis oli võimeline ohvritelt e-posti andmeid koguma.
Hiljem kasutati ohustatud kontosid postkasti sisu kontrollimiseks, kontaktide nimekirjade varastamiseks ja täiendavate andmepüügisõnumite levitamiseks 2025. aasta juunis. 2025. aasta lõpuks oli rühmitus oma tegevusse integreerinud ka täiustatud analüüsivastased tehnikad. Teatud peibutusdokumendid hakkasid kasutama dünaamilist CAPTCHA-verifitseerimist, et valikuliselt aktiveerida pahatahtlikku nakkusahelat ja nurjata automatiseeritud analüüsikeskkondi.
Keerukad odapüügikampaaniad on suunatud Ukrainale
Alates 2026. aasta märtsist on teadlased täheldanud uut kampaaniat, mis on suunatud Ukraina valitsusasutuste vastu pahatahtlike PDF-manustega õngitsuskirjade kaudu. Peibutusdokumendid teesklevad Ukraina telekommunikatsioonifirma Ukrtelecom nime, et näida seaduslikuna ja suurendada ohvrite kaasatust.
Rünnakuahel tugineb PDF-failidesse manustatud linkidele, mis suunavad ohvrid pahatahtlikku RAR-arhiivi, mis sisaldab JavaScripti-põhist sisu. Pärast käivitamist kuvab pahavara peibutusdokumendi, et säilitada legitiimsuse illusioon, käivitades samal ajal taustal vaikselt PicassoLoaderi JavaScripti variandi. Seejärel juurutab laadur kahjustatud süsteemidesse Cobalt Strike Beaconi.
Geopiirded ja ohvrite valideerimine parandavad varjatust
Üks viimase kampaania tähelepanuväärsemaid aspekte on geopiirde ja kihiliste ohvrite valideerimise mehhanismide rakendamine. Ukraina välistelt IP-aadressidelt ühenduvad süsteemid saavad pahatahtliku sisu asemel kahjutu PDF-sisu, vähendades oluliselt kokkupuudet teadlaste ja automatiseeritud skaneerimissüsteemidega.
Pahavara teeb enne täiendavate koormuste edastamist ka ulatusliku nakatunud hostide sõrmejälgede analüüsi. Kogutud süsteemiteavet edastatakse ründaja kontrollitavale infrastruktuurile iga kümne minuti järel, mis võimaldab operaatoritel käsitsi kindlaks teha, kas ohver õigustab edasist ärakasutamist. Alles pärast selle valideerimisprotsessi lõppu edastab infrastruktuur kolmanda etapi JavaScripti dropperi, mis vastutab Cobalt Strike Beaconi installimise eest.
See operatsioon ühendab automatiseeritud filtreerimismeetodid, sealhulgas kasutajaagendi ja IP-põhise kontrollimise, käsitsi operaatori ülevaatusega, mis rõhutab kõrgelt distsiplineeritud ja küpset rünnakumetoodikat.
Regionaalne sihtimisstrateegia laieneb üle Ida-Euroopa
Praegune tegevus näib keskenduvat peamiselt Ukraina sõjaväe-, kaitse- ja valitsusüksustele. Ghostwriterile omistatud operatsioonid Poolas ja Leedus näitavad aga laiemat sihtimisstrateegiat, mis ulatub mitmesse kriitilisse sektorisse:
- Tööstus- ja tootmisorganisatsioonid
- Tervishoiu- ja farmaatsiaasutused
- Logistikateenuse pakkujad
- Valitsusasutused
Ghostwriteri tööriistade, edastusmehhanismide ja operatiivsete turvatavade pidev areng rõhutab grupi püsivust ja kohanemisvõimet. Selle võime kombineerida kohandatud peibutusdokumente, valikulist kasuliku materjali edastust, analüüsivastaseid tehnikaid ja ohvrite käsitsi valideerimist näitab keerukat küberspionaaživõimet, mis on loodud avastamisest kõrvalehoidmiseks, maksimeerides samal ajal operatiivset mõju.
