Vairāku licenču atlaides piedāvājums
Draudu datu bāze Ļaunprātīga programmatūra PicassoLoader JavaScript variants

PicassoLoader JavaScript variants

Līdz Mezo. gadam Ļaunprātīga programmatūra, Advanced Persistent Threat (APT). gadā
Tulkot uz:

Apdraudējumu grupa, kas pazīstama kā Ghostwriter, ir saistīta ar jaunu kiberuzbrukumu vilni, kas vērsti pret valdības organizācijām Ukrainā. Grupa, kas darbojas vismaz kopš 2016. gada, ir ieguvusi reputāciju gan kiberizlūkošanas, gan ietekmes kampaņu veikšanā visā Austrumeiropā, ar spēcīgu operatīvo fokusu uz Ukrainu un kaimiņvalstīm.

Draudu izpildītājs tiek izsekots arī ar vairākiem pseidonīmiem, tostarp FrostyNeighbor, PUSHCHA, Storm-0257, TA445, UAC-0057, Umbral Bison, UNC1151 un White Lynx. Gadu gaitā grupa ir nepārtraukti pilnveidojusi savu infrastruktūru, uzbrukumu ķēdes un apiešanas metodes, cenšoties apiet drošības kontroles un saglabāt ilgtermiņa darbības efektivitāti.

Pastāvīgi mainīgais ļaunprogrammatūras arsenāls

Ghostwriter ir pastāvīgi modernizējis savu ļaunprogrammatūru ekosistēmu un piegādes metodes. Iepriekšējās kampaņas lielā mērā balstījās uz PicassoLoader ļaunprogrammatūru saimi, kas darbojās kā piegādes mehānisms papildu vērtuma slodzēm, piemēram, Cobalt Strike Beacon un njRAT.

2023. gada beigās grupa paplašināja savas iespējas, izmantojot WinRAR ievainojamību CVE-2023-38831, lai izplatītu PicassoLoader un Cobalt Strike. Nākamajā gadā Polijas organizācijas kļuva par pikšķerēšanas kampaņas mērķiem, kas ļaunprātīgi izmantoja Roundcube starpvietņu skriptēšanas trūkumu, kas identificēts kā CVE-2024-42009. Ļaunprātīgā darbība ļāva uzbrucējiem izpildīt JavaScript, kas spēj iegūt upuru e-pasta akreditācijas datus.

Apdraudēti konti vēlāk tika izmantoti, lai pārbaudītu pastkastes saturu, nozagtu kontaktu sarakstus un izplatītu papildu pikšķerēšanas ziņojumus 2025. gada jūnijā. Līdz 2025. gada beigām grupa savās darbībās bija integrējusi arī uzlabotas pretanalīzes metodes. Daži mānīšanas dokumenti sāka izmantot dinamisko CAPTCHA verifikāciju, lai selektīvi aktivizētu ļaunprātīgās inficēšanas ķēdi un traucētu automatizētas analīzes vides darbību.

Sarežģītas mērķtiecīgas pikšķerēšanas kampaņas ir vērstas pret Ukrainu

Kopš 2026. gada marta pētnieki ir novērojuši jaunu kampaņu, kas vērsta pret Ukrainas valdības iestādēm, izmantojot mērķtiecīgas pikšķerēšanas e-pastus ar ļaunprātīgiem PDF pielikumiem. Maldināšanas dokumenti uzdodas par Ukrainas telekomunikāciju pakalpojumu sniedzēju Ukrtelecom, cenšoties radīt iespaidu par likumīgu un palielināt upuru iesaistīšanos.

Uzbrukumu ķēde balstās uz PDF failos iegultām saitēm, kas novirza upurus uz ļaunprātīgu RAR arhīvu, kurā ir uz JavaScript balstīta vērtuma versija. Pēc izpildes ļaunprogrammatūra parāda mānekļa dokumentu, lai saglabātu leģitimitātes ilūziju, vienlaikus fonā klusībā palaižot PicassoLoader JavaScript variantu. Pēc tam ielādētājs apdraudētajās sistēmās izvieto Cobalt Strike Beacon.

Ģeofencēšana un upuru validācija uzlabo slepenību

Viens no ievērojamākajiem jaunākās kampaņas aspektiem ir ģeofencēšanas un daudzslāņainu upuru validācijas mehānismu ieviešana. Sistēmas, kas izveido savienojumu no IP adresēm ārpus Ukrainas, ļaunprātīgās lietderīgās slodzes vietā saņem nekaitīgu PDF saturu, ievērojami samazinot pētnieku un automatizēto skenēšanas sistēmu pakļaušanu riskam.

Ļaunprogrammatūra veic arī plašu apdraudēto resursdatoru pirkstu nospiedumu noņemšanu, pirms piegādā papildu vērtumus. Apkopotā sistēmas informācija tiek pārsūtīta uzbrucēja kontrolētajai infrastruktūrai ik pēc desmit minūtēm, ļaujot operatoriem manuāli noteikt, vai upuris ir pelnījis turpmāku izmantošanu. Tikai pēc šī validācijas procesa pabeigšanas infrastruktūra piegādā trešās pakāpes JavaScript nomešanas programmu, kas ir atbildīga par Cobalt Strike Beacon instalēšanu.

Šī operācija apvieno automatizētas filtrēšanas metodes, tostarp lietotāja aģenta un IP adreses verifikāciju, ar manuālu operatora pārskatu, izceļot augsti disciplinētu un nobriedušu uzbrukuma metodoloģiju.

Reģionālās mērķauditorijas stratēģija paplašinās visā Austrumeiropā

Šķiet, ka pašreizējā aktivitāte galvenokārt koncentrējas uz militārajām, aizsardzības un valdības iestādēm Ukrainā. Tomēr operācijas, kas piedēvētas Ghostwriter Polijā un Lietuvā, liecina par plašāku mērķēšanas stratēģiju, kas aptver vairākas kritiski svarīgas nozares:

  • Rūpniecības un ražošanas organizācijas
  • Veselības aprūpes un farmācijas iestādes
  • Loģistikas pakalpojumu sniedzēji
  • Valdības aģentūras

Ghostwriter rīku, piegādes mehānismu un operatīvās drošības prakses nepārtrauktā attīstība uzsver grupas neatlaidību un pielāgošanās spēju. Tās spēja apvienot pielāgotus mānīšanas dokumentus, selektīvu lietderīgās slodzes piegādi, antianalīzes metodes un manuālu upuru validāciju demonstrē sarežģītas kiberizlūkošanas spējas, kas paredzētas, lai izvairītos no atklāšanas, vienlaikus maksimāli palielinot operatīvo ietekmi.

Tendences

E-pasta piegādes brīdinājums E-pasta krāpniecība

Pikšķerēšana, Mēstules
Ar negaidītiem e-pastiem vienmēr jāizturas piesardzīgi, īpaši, ja tie rada steidzamības sajūtu vai pieprasa sensitīvu informāciju. Kibernoziedznieki bieži maskē pikšķerēšanas ziņojumus kā likumīgus paziņojumus no uzticamiem pakalpojumu sniedzējiem, mēģinot maldināt saņēmējus, lai tie atklātu personas datus. Tā sauktie "e-pasta piegādes brīdinājuma" e-pasti ir skaidrs šīs taktikas piemērs. Šie...

Visvairāk skatīts

Notiek ielāde...