Ponuda s popustom na više licenci
Baza prijetnji Malware JavaScript varijanta PicassoLoadera

JavaScript varijanta PicassoLoadera

Do Mezo. Malware, Napredna trajna prijetnja (APT). godine
Prevedi na:

Skupina za prijetnje poznata kao Ghostwriter povezana je s novim valom kibernetičkih napada usmjerenih na vladine organizacije u Ukrajini. Aktivna od najmanje 2016. godine, grupa je izgradila reputaciju provođenja kibernetičke špijunaže i kampanja utjecaja diljem istočne Europe, s jakim operativnim fokusom na Ukrajinu i susjedne države.

Prijetnja se također prati pod nekoliko pseudonima, uključujući FrostyNeighbor, PUSHCHA, Storm-0257, TA445, UAC-0057, Umbral Bison, UNC1151 i White Lynx. Tijekom godina, grupa je kontinuirano usavršavala svoju infrastrukturu, lance napada i metode izbjegavanja u nastojanju da zaobiđe sigurnosne kontrole i održi dugoročnu operativnu učinkovitost.

Arsenal zlonamjernog softvera koji se stalno razvija

Ghostwriter je dosljedno modernizirao svoj ekosustav zlonamjernog softvera i tehnike isporuke. Ranije kampanje uvelike su se oslanjale na obitelj zlonamjernog softvera PicassoLoader, koja je funkcionirala kao mehanizam isporuke dodatnih korisnih podataka poput Cobalt Strike Beacona i njRAT-a.

Krajem 2023. godine, grupa je proširila svoje mogućnosti iskorištavanjem ranjivosti WinRAR-a CVE-2023-38831 za distribuciju PicassoLoadera i Cobalt Strikea. Sljedeće godine, poljske organizacije postale su mete phishing kampanje koja je zloupotrijebila grešku u cross-site scriptingu u Roundcubeu identificiranu kao CVE-2024-42009. Zlonamjerna aktivnost omogućila je napadačima izvršavanje JavaScripta sposobnog za prikupljanje vjerodajnica e-pošte od žrtava.

Kompromitirani računi kasnije su korišteni za pregled sadržaja poštanskih sandučića, krađu popisa kontakata i distribuciju dodatnih phishing poruka tijekom lipnja 2025. Do kraja 2025. grupa je također integrirala napredne tehnike anti-analize u svoje operacije. Određeni dokumenti za privlačenje počeli su koristiti dinamičku CAPTCHA provjeru kako bi selektivno aktivirali lanac zlonamjerne infekcije i frustrirali automatizirana okruženja za analizu.

Sofisticirane spear-phishing kampanje usmjerene na Ukrajinu

Od ožujka 2026. istraživači su primijetili novu kampanju usmjerenu na ukrajinske vladine institucije putem spear-phishing e-poruka koje sadrže zlonamjerne PDF priloge. Dokumenti mamci predstavljaju ukrajinskog telekomunikacijskog davatelja usluga Ukrtelecom u nastojanju da izgledaju legitimno i povećaju angažman žrtava.

Lanac napada oslanja se na ugrađene poveznice unutar PDF datoteka koje preusmjeravaju žrtve na zlonamjernu RAR arhivu koja sadrži JavaScript-bazirani teret. Nakon izvršenja, zlonamjerni softver prikazuje lažni dokument kako bi sačuvao iluziju legitimnosti, dok tiho pokreće JavaScript varijantu PicassoLoader-a u pozadini. Program za učitavanje potom implementira Cobalt Strike Beacon na kompromitiranim sustavima.

Geofencing i validacija žrtve poboljšavaju prikrivenost

Jedan od najznačajnijih aspekata najnovije kampanje je implementacija geofencinga i mehanizama slojevite validacije žrtava. Sustavi koji se povezuju s IP adresa izvan Ukrajine primaju bezopasan PDF sadržaj umjesto zlonamjernog sadržaja, što značajno smanjuje izloženost istraživačima i automatiziranim sustavima skeniranja.

Zlonamjerni softver također provodi opsežno otiske kompromitiranih hostova prije isporuke dodatnih korisnih podataka. Prikupljene informacije o sustavu prenose se na infrastrukturu koju kontrolira napadač svakih deset minuta, omogućujući operaterima da ručno utvrde zahtijeva li žrtva daljnje iskorištavanje. Tek nakon što je ovaj proces validacije završen, infrastruktura isporučuje JavaScript dropper treće faze odgovoran za instaliranje Cobalt Strike Beacona.

Operacija kombinira automatizirane metode filtriranja, uključujući provjeru korisničkog agenta i IP-a, s ručnim pregledom operatera, ističući visoko discipliniranu i zrelu metodologiju napada.

Regionalna strategija ciljanja širi se diljem istočne Europe

Čini se da su trenutne aktivnosti prvenstveno usmjerene na vojne, obrambene i vladine subjekte u Ukrajini. Međutim, operacije pripisane Ghostwriteru u Poljskoj i Litvi pokazuju širu strategiju ciljanja koja se proteže na više ključnih sektora:

  • Industrijske i proizvodne organizacije
  • Zdravstvene i farmaceutske ustanove
  • Pružatelji logističkih usluga
  • Vladine agencije

Kontinuirana evolucija Ghostwriterovih alata, mehanizama isporuke i praksi operativne sigurnosti naglašava upornost i prilagodljivost grupe. Njihova sposobnost kombiniranja prilagođenih dokumenata za privlačenje, selektivne isporuke korisnog tereta, tehnika anti-analize i ručne validacije žrtava pokazuje sofisticiranu sposobnost kibernetičke špijunaže osmišljenu za izbjegavanje otkrivanja uz maksimiziranje operativnog utjecaja.

U trendu

Upozorenje o isporučivosti e-pošte Prijevara putem...

Krađa identiteta, Spam
Neočekivane e-poruke uvijek treba tretirati s oprezom, posebno kada stvaraju osjećaj hitnosti ili traže osjetljive informacije. Kibernetički kriminalci često prikrivaju phishing poruke kao legitimne obavijesti od pouzdanih pružatelja usluga u pokušaju da prevarom navedu primatelje da otkriju osobne podatke. Takozvane e-poruke s upozorenjem o isporučivosti e-pošte jasan su primjer ove taktike....

Nagledanije

Učitavam...