पिकासोलोडर जावास्क्रिप्ट वेरिएंट
घोस्टराइटर नामक खतरा समूह यूक्रेन में सरकारी संगठनों को निशाना बनाकर किए जा रहे साइबर हमलों की एक नई लहर से जुड़ा हुआ है। कम से कम 2016 से सक्रिय इस समूह ने पूर्वी यूरोप में साइबर जासूसी और प्रभाव अभियान चलाने के लिए ख्याति अर्जित की है, जिसमें यूक्रेन और पड़ोसी राज्यों पर विशेष ध्यान केंद्रित किया गया है।
इस हमलावर समूह को फ्रॉस्टीनेबर, पुशचा, स्टॉर्म-0257, टीए445, यूएसी-0057, अम्ब्रेअल बाइसन, यूएनसी1151 और व्हाइट लिंक्स जैसे कई छद्म नामों से भी ट्रैक किया जा रहा है। वर्षों से, इस समूह ने सुरक्षा नियंत्रणों को दरकिनार करने और दीर्घकालिक परिचालन प्रभावशीलता बनाए रखने के प्रयास में अपने बुनियादी ढांचे, आक्रमण श्रृंखलाओं और बचाव विधियों को लगातार परिष्कृत किया है।
विषयसूची
लगातार विकसित हो रहे मैलवेयर शस्त्रागार
घोस्टराइटर ने अपने मैलवेयर इकोसिस्टम और डिलीवरी तकनीकों को लगातार आधुनिक बनाया है। शुरुआती अभियानों में पिकासोलोडर मैलवेयर परिवार पर बहुत अधिक निर्भरता थी, जो कोबाल्ट स्ट्राइक बीकन और एनजेआरएटी जैसे अतिरिक्त पेलोड के लिए एक डिलीवरी तंत्र के रूप में कार्य करता था।
2023 के अंत में, समूह ने WinRAR की भेद्यता CVE-2023-38831 का फायदा उठाकर PicassoLoader और Cobalt Strike को वितरित करके अपनी क्षमताओं का विस्तार किया। अगले वर्ष, पोलिश संगठन एक फ़िशिंग अभियान का निशाना बने, जिसने Roundcube में CVE-2024-42009 के रूप में पहचानी गई क्रॉस-साइट स्क्रिप्टिंग खामी का दुरुपयोग किया। इस दुर्भावनापूर्ण गतिविधि ने हमलावरों को पीड़ितों से ईमेल क्रेडेंशियल प्राप्त करने में सक्षम जावास्क्रिप्ट को निष्पादित करने में सक्षम बनाया।
जून 2025 के दौरान, हैक किए गए खातों का इस्तेमाल मेलबॉक्स की सामग्री की जांच करने, संपर्क सूचियां चुराने और अतिरिक्त फ़िशिंग संदेश वितरित करने के लिए किया गया था। 2025 के अंत तक, समूह ने अपने संचालन में उन्नत विश्लेषण-विरोधी तकनीकों को भी एकीकृत कर लिया था। कुछ लुभावने दस्तावेज़ों ने चुनिंदा रूप से दुर्भावनापूर्ण संक्रमण श्रृंखला को सक्रिय करने और स्वचालित विश्लेषण वातावरण को विफल करने के लिए गतिशील CAPTCHA सत्यापन का उपयोग करना शुरू कर दिया।
यूक्रेन को निशाना बनाते हुए परिष्कृत स्पीयर-फ़िशिंग अभियान
मार्च 2026 से, शोधकर्ताओं ने यूक्रेन के सरकारी संस्थानों को निशाना बनाकर चलाए जा रहे एक नए अभियान पर ध्यान दिया है। इस अभियान में दुर्भावनापूर्ण पीडीएफ अटैचमेंट वाले स्पियर-फिशिंग ईमेल का इस्तेमाल किया जाता है। ये नकली दस्तावेज़ यूक्रेन की दूरसंचार सेवा प्रदाता कंपनी उक्रतेलेकॉम का रूप धारण करके खुद को वैध दिखाने और पीड़ितों को फंसाने की कोशिश करते हैं।
यह हमला पीडीएफ फाइलों में मौजूद लिंक्स पर आधारित है, जो पीड़ितों को जावास्क्रिप्ट-आधारित पेलोड वाले एक दुर्भावनापूर्ण आरएआर आर्काइव पर रीडायरेक्ट कर देते हैं। एक बार चलने पर, मैलवेयर वैधता का भ्रम बनाए रखने के लिए एक नकली दस्तावेज़ प्रदर्शित करता है, जबकि पृष्ठभूमि में चुपचाप पिकासोलोडर का जावास्क्रिप्ट संस्करण लॉन्च करता है। इसके बाद लोडर प्रभावित सिस्टमों पर कोबाल्ट स्ट्राइक बीकन को तैनात करता है।
जियोफेंसिंग और पीड़ित सत्यापन से गोपनीयता बढ़ती है
नवीनतम अभियान का एक सबसे उल्लेखनीय पहलू जियोफेंसिंग और स्तरित पीड़ित सत्यापन तंत्रों का कार्यान्वयन है। यूक्रेन के बाहर के आईपी पतों से कनेक्ट होने वाले सिस्टम को दुर्भावनापूर्ण पेलोड के बजाय हानिरहित पीडीएफ सामग्री प्राप्त होती है, जिससे शोधकर्ताओं और स्वचालित स्कैनिंग सिस्टम के लिए जोखिम काफी कम हो जाता है।
यह मैलवेयर अतिरिक्त पेलोड भेजने से पहले प्रभावित होस्ट्स की व्यापक फिंगरप्रिंटिंग भी करता है। एकत्रित सिस्टम जानकारी हर दस मिनट में हमलावर के नियंत्रण वाले इंफ्रास्ट्रक्चर को भेजी जाती है, जिससे ऑपरेटर मैन्युअल रूप से यह निर्धारित कर सकते हैं कि पीड़ित को आगे शोषण की आवश्यकता है या नहीं। यह सत्यापन प्रक्रिया पूरी होने के बाद ही इंफ्रास्ट्रक्चर कोबाल्ट स्ट्राइक बीकन को स्थापित करने के लिए जिम्मेदार तीसरे चरण का जावास्क्रिप्ट ड्रॉपर भेजता है।
इस ऑपरेशन में उपयोगकर्ता-एजेंट और आईपी-आधारित सत्यापन सहित स्वचालित फ़िल्टरिंग विधियों को मैन्युअल ऑपरेटर समीक्षा के साथ जोड़ा गया है, जो एक अत्यंत अनुशासित और परिपक्व हमला पद्धति को उजागर करता है।
पूर्वी यूरोप में क्षेत्रीय लक्ष्यीकरण रणनीति का विस्तार
वर्तमान गतिविधि मुख्य रूप से यूक्रेन में सैन्य, रक्षा और सरकारी संस्थाओं पर केंद्रित प्रतीत होती है। हालांकि, पोलैंड और लिथुआनिया में घोस्टराइटर से जुड़ी कार्रवाइयां एक व्यापक लक्ष्यीकरण रणनीति को दर्शाती हैं जो कई महत्वपूर्ण क्षेत्रों तक फैली हुई है:
- औद्योगिक और विनिर्माण संगठन
- स्वास्थ्य सेवा और औषधि संस्थान
- लॉजिस्टिक्स प्रदाता
- सरकारी एजेंसियों
घोस्टराइटर के टूल्स, डिलीवरी मैकेनिज्म और ऑपरेशनल सिक्योरिटी प्रैक्टिस में लगातार हो रहे विकास से समूह की दृढ़ता और अनुकूलन क्षमता स्पष्ट होती है। कस्टमाइज्ड लुअर डॉक्यूमेंट्स, सेलेक्टिव पेलोड डिलीवरी, एंटी-एनालिसिस तकनीक और मैनुअल विक्टिम वैलिडेशन को मिलाकर काम करने की इसकी क्षमता एक परिष्कृत साइबर-जासूसी क्षमता को दर्शाती है, जिसे ऑपरेशनल प्रभाव को अधिकतम करते हुए पकड़े जाने से बचने के लिए डिज़ाइन किया गया है।
