Több licencre vonatkozó kedvezményes árajánlat
Veszély-adatbázis Malware PicassoLoader JavaScript változat

PicassoLoader JavaScript változat

Mezo -ra Malware, Advanced Persistent Threat (APT)-ben
Fordítás ide:

A Ghostwriter néven ismert fenyegető csoportot összefüggésbe hozták egy új, ukrán kormányzati szervezeteket célzó kibertámadási hullámmal. A legalább 2016 óta aktív csoport hírnevet szerzett magának Kelet-Európa-szerte folytatott kiberkémkedés és befolyásolási kampányok terén, erős operatív fókuszban Ukrajnával és a szomszédos államokkal.

A fenyegető szereplőt több álnéven is nyomon követik, többek között FrostyNeighbor, PUSHCHA, Storm-0257, TA445, UAC-0057, Umbral Bison, UNC1151 és White Lynx néven. Az évek során a csoport folyamatosan finomította infrastruktúráját, támadási láncait és kijátszási módszereit a biztonsági ellenőrzések megkerülése és a hosszú távú működési hatékonyság fenntartása érdekében.

Folyamatosan fejlődő kártevőarzenál

A Ghostwriter következetesen modernizálta a kártevő-ökoszisztémáját és a terjesztési technikáit. A korábbi kampányok nagymértékben támaszkodtak a PicassoLoader kártevőcsaládra, amely további hasznos programok, például a Cobalt Strike Beacon és az njRAT terjesztési mechanizmusaként működött.

2023 végén a csoport kibővítette képességeit a WinRAR CVE-2023-38831 sebezhetőségének kihasználásával, hogy terjessze a PicassoLoader és a Cobalt Strike szoftvereket. A következő évben lengyel szervezetek váltak egy adathalász kampány célpontjaivá, amely a Roundcube CVE-2024-42009 számú, webhelyeken átívelő szkriptelési hibáját használta ki. A rosszindulatú tevékenység lehetővé tette a támadók számára, hogy JavaScript kódot futtassanak, amely képes e-mail hitelesítő adatok gyűjtésére az áldozatoktól.

A feltört fiókokat később postafiók-tartalom ellenőrzésére, névjegyzékek ellopására és további adathalász üzenetek terjesztésére használták 2025 júniusában. 2025 végére a csoport fejlett anti-analízis technikákat is integrált a működésébe. Bizonyos csali dokumentumok dinamikus CAPTCHA-ellenőrzést kezdtek használni a rosszindulatú fertőzési lánc szelektív aktiválására és az automatizált elemző környezetek meghiúsítására.

Kifinomult célzott adathalász kampányok célozzák meg Ukrajnát

2026 márciusa óta a kutatók egy új kampányt figyeltek meg, amely ukrán kormányzati intézmények ellen irányul, rosszindulatú PDF-mellékleteket tartalmazó adathalász e-mailek révén. A csaliként használt dokumentumok az ukrán telekommunikációs szolgáltató, az Ukrtelecom személyazonosságát adják ki, hogy legitimnek tűnjenek, és növeljék az áldozatok bevonását.

A támadási lánc a PDF fájlokba ágyazott linkekre támaszkodik, amelyek egy JavaScript alapú hasznos adatot tartalmazó rosszindulatú RAR archívumba irányítják át az áldozatokat. Futás után a rosszindulatú program egy álcadokumentumot jelenít meg a legitimitás illúziójának megőrzése érdekében, miközben csendben elindítja a PicassoLoader JavaScript-változatát a háttérben. A betöltő ezt követően a Cobalt Strike Beacon-t telepíti a feltört rendszereken.

A geofencing és az áldozat-érvényesítés fokozza a lopakodást

A legújabb kampány egyik legfigyelemreméltóbb aspektusa a geofencing és a rétegzett áldozat-ellenőrzési mechanizmusok bevezetése. Az Ukrajnán kívüli IP-címekről csatlakozó rendszerek ártalmatlan PDF-tartalmat kapnak a rosszindulatú hasznos adatok helyett, jelentősen csökkentve a kutatók és az automatizált szkennelő rendszerek kitettségét.

A rosszindulatú program a további hasznos adatok küldése előtt a feltört hosztokon is kiterjedt ujjlenyomat-vizsgálatot végez. A gyűjtött rendszerinformációkat tízpercenként továbbítja a támadó által ellenőrzött infrastruktúrának, lehetővé téve az operátorok számára, hogy manuálisan megállapítsák, hogy egy áldozat indokolt-e további kihasználásra. Csak a validációs folyamat befejezése után küld az infrastruktúra egy harmadik szintű JavaScript-ledobót, amely a Cobalt Strike Beacon telepítéséért felelős.

A művelet automatizált szűrési módszereket, beleértve a felhasználói ügynök és az IP-alapú ellenőrzést, ötvöz manuális operátori felülvizsgálattal, kiemelve a rendkívül fegyelmezett és kiforrott támadási módszertant.

Regionális célzási stratégia terjeszkedik Kelet-Európában

A jelenlegi tevékenység elsősorban az ukrajnai katonai, védelmi és kormányzati szervezetekre összpontosít. A Ghostwriterhez köthető lengyelországi és litvániai műveletek azonban egy szélesebb körű célzási stratégiát mutatnak, amely több kritikus ágazatra is kiterjed:

  • Ipari és gyártó szervezetek
  • Egészségügyi és gyógyszerészeti intézmények
  • Logisztikai szolgáltatók
  • Kormányzati szervek

A Ghostwriter eszközeinek, kézbesítési mechanizmusainak és operatív biztonsági gyakorlatainak folyamatos fejlődése aláhúzza a csoport kitartását és alkalmazkodóképességét. A személyre szabott csalidokumentumok, a szelektív hasznos teher kézbesítése, az anti-analízis technikák és a manuális áldozatellenőrzés kombinálásának képessége kifinomult kiberkémkedési képességet mutat, amelyet úgy terveztek, hogy elkerülje az észlelést, miközben maximalizálja a működési hatást.

Felkapott

E-mail kézbesítési riasztás – E-mailes átverés

Adathalászat, Spam
A váratlan e-maileket mindig óvatosan kell kezelni, különösen akkor, ha sürgősnek tűnnek, vagy érzékeny információkat kérnek. A kiberbűnözők gyakran álcázzák az adathalász üzeneteket megbízható szolgáltatóktól származó jogos értesítésekként, hogy megtévesszék a címzetteket személyes adatok felfedésével. Az úgynevezett „e-mail kézbesíthetőségi riasztás” e-mailek egyértelmű példái ennek a...

Legnézettebb

Betöltés...