Kelių licencijų nuolaidos pasiūlymas
Grėsmių duomenų bazė Kenkėjiška programa „PicassoLoader“ JavaScript variantas

„PicassoLoader“ JavaScript variantas

Autorius Mezo, Kenkėjiška programa, Išplėstinė nuolatinė grėsmė (APT)
Versti į:

Grėsmių grupuotė, žinoma kaip „Ghostwriter“, buvo siejama su nauja kibernetinių atakų banga, nukreipta prieš vyriausybines organizacijas Ukrainoje. Grupuotė, veikianti mažiausiai nuo 2016 m., pelnė reputaciją vykdydama kibernetinį šnipinėjimą ir įtakos kampanijas visoje Rytų Europoje, o jos veikla daugiausia buvo sutelkta į Ukrainą ir kaimynines valstybes.

Grėsmės skleidėjas taip pat sekamas keliais slapyvardžiais, įskaitant „FrostyNeighbor“, „PUSHCHA“, „Storm-0257“, „TA445“, „UAC-0057“, „Umbral Bison“, „UNC1151“ ir „White Lynx“. Bėgant metams, grupė nuolat tobulino savo infrastruktūrą, atakų grandines ir atakų vengimo metodus, siekdama apeiti saugumo kontrolę ir išlaikyti ilgalaikį veiklos efektyvumą.

Nuolat besivystantis kenkėjiškų programų arsenalas

„Ghostwriter“ nuolat modernizavo savo kenkėjiškų programų ekosistemą ir pateikimo metodus. Ankstesnėse kampanijose daugiausia buvo naudojama „PicassoLoader“ kenkėjiškų programų šeima, kuri veikė kaip papildomų naudingųjų programų, tokių kaip „Cobalt Strike Beacon“ ir „njRAT“, pateikimo mechanizmas.

2023 m. pabaigoje grupė išplėtė savo galimybes išnaudodama „WinRAR“ pažeidžiamumą CVE-2023-38831, kad platintų „PicassoLoader“ ir „Cobalt Strike“. Kitais metais Lenkijos organizacijos tapo sukčiavimo kampanijos, kuria buvo piktnaudžiaujama „Roundcube“ tarpsvetainės scenarijų spraga, identifikuota kaip CVE-2024-42009, taikiniais. Kenkėjiška veikla leido užpuolikams vykdyti „JavaScript“, galintį rinkti aukų el. pašto prisijungimo duomenis.

Pavojingos paskyros vėliau, 2025 m. birželį, buvo panaudotos pašto dėžučių turiniui tikrinti, kontaktų sąrašams vogti ir papildomiems sukčiavimo pranešimams platinti. Iki 2025 m. pabaigos grupė į savo veiklą taip pat buvo integravusi pažangias antianalizės technologijas. Kai kuriuose masalų dokumentuose pradėta naudoti dinaminė CAPTCHA patikra, siekiant selektyviai aktyvuoti kenkėjišką užkrato grandinę ir sutrikdyti automatizuotos analizės aplinkas.

Sudėtingos tikslinės sukčiavimo kampanijos taikosi į Ukrainą

Nuo 2026 m. kovo mėn. tyrėjai stebi naują kampaniją, nukreiptą prieš Ukrainos vyriausybines institucijas, naudojant tikslinius sukčiavimo el. laiškus su kenkėjiškais PDF priedais. Apgaulingi dokumentai apsimetinėja Ukrainos telekomunikacijų paslaugų teikėju „Ukrtelecom“, siekiant atrodyti teisėtu ir padidinti aukų įsitraukimą.

Atakų grandinė remiasi PDF failuose įterptomis nuorodomis, kurios nukreipia aukas į kenkėjišką RAR archyvą, kuriame yra „JavaScript“ pagrindu sukurta apkrova. Paleidus kenkėjiška programa rodo masalų dokumentą, kad išsaugotų teisėtumo iliuziją, tuo pačiu fone tyliai paleisdama „PicassoLoader“ „JavaScript“ variantą. Vėliau įkėlėjas pažeistose sistemose įdiegia „Cobalt Strike Beacon“.

Geografinio stebėjimo ir aukų patvirtinimo technologijos pagerina slaptumą

Vienas ryškiausių naujausios kampanijos aspektų – geofencingo ir daugiasluoksnių aukų patvirtinimo mechanizmų įdiegimas. Sistemos, jungiančiossi iš IP adresų už Ukrainos ribų, gauna nekenksmingą PDF turinį, o ne kenkėjišką turinį, taip žymiai sumažindamos tyrėjų ir automatizuotų nuskaitymo sistemų patiriamą riziką.

Kenkėjiška programa taip pat atlieka išsamų pažeistų kompiuterių pirštų atspaudų nuskaitymą prieš siunčiant papildomus paketus. Surinkta sistemos informacija kas dešimt minučių perduodama užpuoliko kontroliuojamai infrastruktūrai, todėl operatoriai gali rankiniu būdu nustatyti, ar auka pateisinama tolesniam išnaudojimui. Tik baigus šį patvirtinimo procesą, infrastruktūra pateikia trečiojo etapo „JavaScript“ įskiepį, atsakingą už „Cobalt Strike Beacon“ diegimą.

Operacija derina automatinius filtravimo metodus, įskaitant vartotojo agento ir IP adreso pagrindu atliekamą tikrinimą, su rankine operatoriaus peržiūra, o tai pabrėžia itin drausmingą ir brandžią atakų metodiką.

Regioninė tikslinė rinkodara plečiasi visoje Rytų Europoje

Dabartinė veikla, regis, daugiausia sutelkta į karinius, gynybos ir vyriausybinius subjektus Ukrainoje. Tačiau „Ghostwriter“ priskiriamos operacijos Lenkijoje ir Lietuvoje rodo platesnę taikinio strategiją, apimančią kelis svarbius sektorius:

  • Pramonės ir gamybos organizacijos
  • Sveikatos priežiūros ir farmacijos įstaigos
  • Logistikos paslaugų teikėjai
  • Vyriausybinės agentūros

Nuolatinė „Ghostwriter“ įrankių, pristatymo mechanizmų ir operacinio saugumo praktikos plėtra pabrėžia grupės atkaklumą ir prisitaikymą. Jos gebėjimas derinti pritaikytus masalo dokumentus, selektyvų naudingosios apkrovos pristatymą, antianalizės metodus ir rankinį aukų patvirtinimą rodo sudėtingus kibernetinio šnipinėjimo pajėgumus, skirtus išvengti aptikimo, kartu maksimaliai padidinant operacinį poveikį.

Tendencijos

El. laiškų pristatymo įspėjimas El. laiškų sukčiavimas

Sukčiavimas, Šlamštas
Su netikėtais el. laiškais visada reikia elgtis atsargiai, ypač kai jie sukuria skubos įspūdį arba prašo neskelbtinos informacijos. Kibernetiniai nusikaltėliai dažnai maskuoja sukčiavimo pranešimus kaip teisėtus pranešimus iš patikimų paslaugų teikėjų, bandydami apgauti gavėjus ir priversti juos atskleisti asmeninius duomenis. Vadinamieji „el. laiškų pristatymo įspėjimų“ el. laiškai yra aiškus...

Labiausiai žiūrima

Įkeliama...