גרסת JavaScript של PicassoLoader

קבוצת האיום המכונה Ghostwriter נקשרה לגל חדש של מתקפות סייבר המכוונות נגד ארגונים ממשלתיים באוקראינה. הקבוצה, הפעילה לפחות משנת 2016, בנתה לעצמה מוניטין של ניהול ריגול סייבר וקמפיינים להשפעה ברחבי מזרח אירופה, עם דגש מבצעי חזק על אוקראינה ומדינות שכנות.

גורם האיום נמצא גם תחת מספר שמות בדויים, כולל FrostyNeighbor, PUSHCHA, Storm-0257, TA445, UAC-0057, Umbral Bison, UNC1151 ו-White Lynx. במהלך השנים, הקבוצה שיכללה ללא הרף את התשתית שלה, שרשראות התקיפה ושיטות ההתחמקות במאמץ לעקוף את בקרות האבטחה ולשמור על יעילות מבצעית לטווח ארוך.

ארסנל תוכנות זדוניות שמתפתח ללא הרף

Ghostwriter שידרגה באופן עקבי את המערכת האקולוגית של תוכנות זדוניות ואת טכניקות ההעברה שלה. קמפיינים קודמים הסתמכו במידה רבה על משפחת התוכנות הזדוניות PicassoLoader, אשר שימשה כמנגנון העברה עבור מטענים נוספים כגון Cobalt Strike Beacon ו-njRAT.

בסוף 2023, הקבוצה הרחיבה את יכולותיה על ידי ניצול הפגיעות CVE-2023-38831 ב-WinRAR כדי להפיץ את PicassoLoader ו-Cobalt Strike. בשנה שלאחר מכן, ארגונים פולנים הפכו למטרות של קמפיין פישינג שניצל לרעה פגם ב-cross-site scripting ב-Roundcube שזוהה כ-CVE-2024-42009. הפעילות הזדונית אפשרה לתוקפים להריץ JavaScript המסוגל לאסוף פרטי דוא"ל מקורבנות.

חשבונות שנפרצו שימשו מאוחר יותר לבדיקת תוכן תיבות דואר, גניבת רשימות אנשי קשר והפצת הודעות פישינג נוספות במהלך יוני 2025. עד סוף 2025, הקבוצה שילבה גם טכניקות מתקדמות של אנטי-אנליזה בפעילותה. מסמכי פיתיון מסוימים החלו להשתמש באימות CAPTCHA דינמי כדי להפעיל באופן סלקטיבי את שרשרת ההדבקה הזדונית ולסכל סביבות ניתוח אוטומטיות.

קמפיינים מתוחכמים של “פישינג ספיר” מכוונים נגד אוקראינה

מאז מרץ 2026, חוקרים צפו בקמפיין חדש המכוון נגד מוסדות ממשלתיים אוקראינים באמצעות הודעות דוא"ל מסוג "פישינג" (Spider Phishing) המכילות קבצים מצורפים זדוניים בפורמט PDF. מסמכי הפיתוי מתחזים לספקית התקשורת האוקראינית Ukrtelecom במאמץ להיראות לגיטימית ולהגביר את מעורבות הקורבנות.

שרשרת ההתקפה מסתמכת על קישורים מוטמעים בתוך קבצי ה-PDF אשר מפנים את הקורבנות לארכיון RAR זדוני המכיל מטען מבוסס JavaScript. לאחר ההפעלה, הנוזקה מציגה מסמך דמה כדי לשמר את אשליית הלגיטימיות, תוך הפעלת גרסת JavaScript של PicassoLoader ברקע בשקט. לאחר מכן, הטוען פורס את Cobalt Strike Beacon על מערכות פרוצות.

גיאופינג ואימות קורבנות משפרים את החמקנות

אחד ההיבטים הבולטים ביותר של הקמפיין האחרון הוא יישום גיאו-פינצ'ינג ומנגנוני אימות קורבנות מרובים. מערכות המתחברות מכתובות IP מחוץ לאוקראינה מקבלות תוכן PDF לא מזיק במקום המטען הזדוני, מה שמפחית משמעותית את החשיפה לחוקרים ולמערכות סריקה אוטומטיות.

התוכנה הזדונית מבצעת גם טביעות אצבע נרחבות של מחשבי שרת שנפרצו לפני שהיא מספקת מטענים נוספים. מידע מערכת שנאסף מועבר לתשתית הנשלטת על ידי התוקף כל עשר דקות, מה שמאפשר למפעילים לקבוע ידנית האם קורבן מצדיק ניצול נוסף. רק לאחר השלמת תהליך האימות הזה, התשתית מספקת שלב שלישי של JavaScript dropper האחראי על התקנת Cobalt Strike Beacon.

הפעולה משלבת שיטות סינון אוטומטיות, כולל אימות מבוסס משתמש-סוכן ואימות מבוסס IP, עם סקירה ידנית של המפעיל, ומדגישה מתודולוגיית תקיפה בוגרת וממושמעת ביותר.

אסטרטגיית מיקוד אזורית מתרחבת ברחבי מזרח אירופה

נראה כי הפעילות הנוכחית מתמקדת בעיקר בגופים צבאיים, ביטחוניים וממשלתיים באוקראינה. עם זאת, פעולות המיוחסות ל-Ghostwriter בפולין ובליטא מדגימות אסטרטגיית מיקוד רחבה יותר המשתרעת על פני מספר מגזרים קריטיים:

• ארגונים תעשייתיים וייצוריים
• מוסדות בריאות ותרופות
• ספקי לוגיסטיקה
• סוכנויות ממשלתיות

ההתפתחות המתמשכת של הכלים, מנגנוני המסירה ושיטות האבטחה התפעוליות של Ghostwriter מדגישה את ההתמדה והסתגלות של הקבוצה. יכולתה לשלב מסמכי פיתיון מותאמים אישית, מסירת מטען סלקטיבית, טכניקות אנטי-אנליזה ואימות ידני של קורבנות מדגימה יכולת ריגול סייבר מתוחכמת שנועדה להתחמק מגילוי תוך מקסום ההשפעה המבצעית.