قیمت چند مجوز تخفیف
پایگاه داده تهدید بدافزار نسخه جاوا اسکریپت PicassoLoader

نسخه جاوا اسکریپت PicassoLoader

تا Mezo در بدافزار, تهدید مداوم پیشرفته (APT)
ترجمه به:

گروه تهدید موسوم به Ghostwriter با موج جدیدی از حملات سایبری که سازمان‌های دولتی در اوکراین را هدف قرار داده، مرتبط دانسته شده است. این گروه که حداقل از سال ۲۰۱۶ فعال بوده، به خاطر انجام جاسوسی سایبری و کمپین‌های نفوذ در سراسر اروپای شرقی، با تمرکز عملیاتی قوی بر اوکراین و کشورهای همسایه، شهرت یافته است.

این عامل تهدید همچنین با نام‌های مستعار مختلفی از جمله FrostyNeighbor، PUSHCHA، Storm-0257، TA445، UAC-0057، Umbral Bison، UNC1151 و White Lynx ردیابی می‌شود. در طول سال‌ها، این گروه به طور مداوم زیرساخت‌ها، زنجیره‌های حمله و روش‌های فرار خود را اصلاح کرده است تا بتواند کنترل‌های امنیتی را دور بزند و اثربخشی عملیاتی بلندمدت خود را حفظ کند.

زرادخانه بدافزارهای در حال تکامل مداوم

Ghostwriter به طور مداوم اکوسیستم بدافزار و تکنیک‌های توزیع خود را مدرن کرده است. کمپین‌های قبلی به شدت به خانواده بدافزار PicassoLoader متکی بودند که به عنوان مکانیسم توزیع برای بارهای اضافی مانند Cobalt Strike Beacon و njRAT عمل می‌کرد.

در اواخر سال ۲۰۲۳، این گروه با سوءاستفاده از آسیب‌پذیری WinRAR با شناسه CVE-2023-38831 برای توزیع PicassoLoader و Cobalt Strike، قابلیت‌های خود را گسترش داد. سال بعد، سازمان‌های لهستانی هدف یک کمپین فیشینگ قرار گرفتند که از یک نقص اسکریپت‌نویسی بین‌سایتی در Roundcube با شناسه CVE-2024-42009 سوءاستفاده می‌کرد. این فعالیت مخرب به مهاجمان امکان اجرای جاوا اسکریپت با قابلیت جمع‌آوری اطلاعات محرمانه ایمیل از قربانیان را می‌داد.

حساب‌های کاربری هک‌شده بعداً برای بازرسی محتویات صندوق پستی، سرقت لیست مخاطبین و توزیع پیام‌های فیشینگ اضافی در ژوئن ۲۰۲۵ مورد استفاده قرار گرفتند. تا پایان سال ۲۰۲۵، این گروه همچنین تکنیک‌های پیشرفته ضد تجزیه و تحلیل را در عملیات خود ادغام کرده بود. برخی از اسناد فریب‌دهنده شروع به استفاده از تأیید پویای CAPTCHA برای فعال کردن انتخابی زنجیره آلودگی مخرب و مختل کردن محیط‌های تجزیه و تحلیل خودکار کردند.

کمپین‌های پیچیده فیشینگ هدفمند، اوکراین را هدف قرار داده‌اند

از مارس ۲۰۲۶، محققان شاهد یک کمپین جدید بوده‌اند که از طریق ایمیل‌های فیشینگ هدفمند حاوی پیوست‌های مخرب PDF، نهادهای دولتی اوکراین را هدف قرار داده است. این اسناد جعلی، خود را به جای شرکت مخابراتی اوکراینی Ukrtelecom جا می‌زنند تا ظاهری قانونی داشته باشند و تعامل قربانی را افزایش دهند.

زنجیره حمله به لینک‌های جاسازی‌شده در فایل‌های PDF متکی است که قربانیان را به یک آرشیو RAR مخرب حاوی یک payload مبتنی بر جاوا اسکریپت هدایت می‌کند. پس از اجرا، بدافزار یک سند جعلی را نمایش می‌دهد تا توهم مشروعیت را حفظ کند، در حالی که به طور مخفیانه یک نوع جاوا اسکریپت از PicassoLoader را در پس‌زمینه اجرا می‌کند. این loader متعاقباً Cobalt Strike Beacon را روی سیستم‌های آسیب‌دیده مستقر می‌کند.

حصار جغرافیایی و اعتبارسنجی قربانی، مخفی‌کاری را افزایش می‌دهد

یکی از قابل توجه‌ترین جنبه‌های جدیدترین کمپین، پیاده‌سازی مکانیزم‌های اعتبارسنجی قربانی و لایه‌بندی جغرافیایی است. سیستم‌هایی که از آدرس‌های IP خارج از اوکراین متصل می‌شوند، به جای بار داده مخرب، محتوای PDF بی‌خطر دریافت می‌کنند که به طور قابل توجهی میزان قرار گرفتن در معرض محققان و سیستم‌های اسکن خودکار را کاهش می‌دهد.

این بدافزار همچنین قبل از ارسال بارهای اضافی، انگشت‌نگاری گسترده‌ای از میزبان‌های آسیب‌دیده انجام می‌دهد. اطلاعات سیستم جمع‌آوری‌شده هر ده دقیقه به زیرساخت تحت کنترل مهاجم منتقل می‌شود و اپراتورها را قادر می‌سازد تا به‌صورت دستی تعیین کنند که آیا یک قربانی نیاز به بهره‌برداری بیشتر دارد یا خیر. تنها پس از تکمیل این فرآیند اعتبارسنجی، زیرساخت یک دراپر جاوا اسکریپت مرحله سوم را که مسئول نصب Cobalt Strike Beacon است، ارائه می‌دهد.

این عملیات، روش‌های فیلترینگ خودکار، از جمله تأیید هویت مبتنی بر عامل کاربر و IP، را با بررسی دستی اپراتور ترکیب می‌کند و یک روش حمله بسیار منظم و پخته را برجسته می‌کند.

استراتژی هدف‌گیری منطقه‌ای در سراسر اروپای شرقی گسترش می‌یابد

به نظر می‌رسد فعالیت‌های فعلی عمدتاً بر نهادهای نظامی، دفاعی و دولتی در اوکراین متمرکز است. با این حال، عملیات‌های منتسب به Ghostwriter در لهستان و لیتوانی، استراتژی هدف‌گیری گسترده‌تری را نشان می‌دهد که به بخش‌های حیاتی متعددی گسترش می‌یابد:

  • سازمان‌های صنعتی و تولیدی
  • موسسات بهداشتی و دارویی
  • ارائه دهندگان خدمات لجستیکی
  • سازمان‌های دولتی

تکامل مداوم ابزارها، مکانیسم‌های انتقال و شیوه‌های امنیتی عملیاتی Ghostwriter، پایداری و سازگاری این گروه را برجسته می‌کند. توانایی آن در ترکیب اسناد فریب سفارشی، انتقال انتخابی بار داده، تکنیک‌های ضد تحلیل و اعتبارسنجی دستی قربانی، نشان‌دهنده‌ی یک قابلیت جاسوسی سایبری پیچیده است که برای جلوگیری از شناسایی و در عین حال به حداکثر رساندن تأثیر عملیاتی طراحی شده است.

پرطرفدار

کلاهبرداری ایمیلی هشدار تحویل ایمیل

فیشینگ, هرزنامه
همیشه باید با ایمیل‌های غیرمنتظره با احتیاط برخورد کرد، به خصوص زمانی که حس فوریت ایجاد می‌کنند یا اطلاعات حساسی را درخواست می‌کنند. مجرمان سایبری اغلب پیام‌های فیشینگ را به عنوان اعلان‌های قانونی از ارائه دهندگان خدمات معتبر پنهان می‌کنند تا گیرندگان را فریب دهند و اطلاعات شخصی آنها را فاش کنند. ایمیل‌های موسوم به «هشدار تحویل ایمیل» نمونه بارزی از این تاکتیک هستند. این پیام‌ها به هیچ شرکت،...

Dologymant.co.in

وب سایت های سرکش, ابزارهای تبلیغاتی مزاحم, ربایندگان مرورگر
مرور اینترنت بدون احتیاط می‌تواند کاربران را در معرض طیف گسترده‌ای از تهدیدات سایبری قرار دهد. وب‌سایت‌های مخرب اغلب به تکنیک‌های فریبنده‌ای متکی هستند که برای فریب بازدیدکنندگان و وادار کردن آنها...

پربیننده ترین

بارگذاری...