Sebut Harga Diskaun Berbilang Lesen
Pangkalan Data Ancaman perisian hasad Varian JavaScript PicassoLoader

Varian JavaScript PicassoLoader

Menjelang Mezo pada perisian hasad, Ancaman Berterusan Lanjutan (APT)
Terjemahkan ke

Kumpulan ancaman yang dikenali sebagai Ghostwriter telah dikaitkan dengan gelombang baharu serangan siber yang menyasarkan organisasi kerajaan di Ukraine. Aktif sekurang-kurangnya sejak 2016, kumpulan ini telah membina reputasi dalam menjalankan kempen pengintipan siber dan pengaruh di seluruh Eropah Timur, dengan tumpuan operasi yang kukuh di Ukraine dan negara-negara jiran.

Aktor ancaman itu juga dikesan di bawah beberapa alias, termasuk FrostyNeighbor, PUSHCHA, Storm-0257, TA445, UAC-0057, Umbral Bison, UNC1151 dan White Lynx. Selama bertahun-tahun, kumpulan itu terus memperhalusi infrastruktur, rantaian serangan dan kaedah pengelakannya dalam usaha untuk memintas kawalan keselamatan dan mengekalkan keberkesanan operasi jangka panjang.

Arsenal Perisian Hasad yang Sentiasa Berkembang

Ghostwriter telah memodenkan ekosistem dan teknik penghantaran perisian hasadnya secara konsisten. Kempen terdahulu sangat bergantung pada keluarga perisian hasad PicassoLoader, yang berfungsi sebagai mekanisme penghantaran untuk muatan tambahan seperti Cobalt Strike Beacon dan njRAT.

Pada akhir tahun 2023, kumpulan itu mengembangkan keupayaannya dengan mengeksploitasi kerentanan WinRAR CVE-2023-38831 untuk mengedarkan PicassoLoader dan Cobalt Strike. Pada tahun berikutnya, organisasi Poland menjadi sasaran kempen pancingan data yang menyalahgunakan kecacatan skrip silang tapak dalam Roundcube yang dikenal pasti sebagai CVE-2024-42009. Aktiviti berniat jahat itu membolehkan penyerang melaksanakan JavaScript yang mampu menuai kelayakan e-mel daripada mangsa.

Akaun yang dikompromi kemudiannya digunakan untuk memeriksa kandungan peti mel, mencuri senarai kenalan dan mengedarkan mesej pancingan data tambahan sepanjang Jun 2025. Menjelang akhir tahun 2025, kumpulan itu juga telah mengintegrasikan teknik anti-analisis lanjutan ke dalam operasinya. Dokumen umpan tertentu mula menggunakan pengesahan CAPTCHA dinamik untuk mengaktifkan rantaian jangkitan berniat jahat secara selektif dan menggagalkan persekitaran analisis automatik.

Kempen Spear-Phishing Canggih Menyasarkan Ukraine

Sejak Mac 2026, para penyelidik telah memerhatikan kempen baharu yang ditujukan kepada institusi kerajaan Ukraine melalui e-mel spear-phishing yang membawa lampiran PDF yang berniat jahat. Dokumen-dokumen umpan tersebut menyamar sebagai penyedia telekomunikasi Ukraine, Ukrtelecom, dalam usaha untuk kelihatan sah dan meningkatkan penglibatan mangsa.

Rantaian serangan bergantung pada pautan terbenam dalam fail PDF yang mengalihkan mangsa ke arkib RAR berniat jahat yang mengandungi muatan berasaskan JavaScript. Setelah dilaksanakan, perisian hasad tersebut memaparkan dokumen umpan untuk mengekalkan ilusi kesahihan sambil melancarkan varian JavaScript PicassoLoader secara senyap di latar belakang. Pemuat kemudiannya menggunakan Cobalt Strike Beacon pada sistem yang diceroboh.

Geofencing dan Pengesahan Mangsa Meningkatkan Kerahsiaan

Salah satu aspek yang paling ketara dalam kempen terkini ialah pelaksanaan geofencing dan mekanisme pengesahan mangsa berlapis. Sistem yang bersambung daripada alamat IP di luar Ukraine menerima kandungan PDF yang tidak berbahaya dan bukannya muatan berniat jahat, sekali gus mengurangkan pendedahan kepada penyelidik dan sistem pengimbasan automatik dengan ketara.

Perisian hasad ini juga melakukan pengesanan cap jari yang meluas terhadap hos yang dikompromi sebelum menghantar muatan tambahan. Maklumat sistem yang dikumpul dihantar ke infrastruktur yang dikawal oleh penyerang setiap sepuluh minit, membolehkan pengendali menentukan secara manual sama ada mangsa memerlukan eksploitasi selanjutnya. Hanya selepas proses pengesahan ini selesai, infrastruktur tersebut menghantar penitis JavaScript peringkat ketiga yang bertanggungjawab untuk memasang Cobalt Strike Beacon.

Operasi ini menggabungkan kaedah penapisan automatik, termasuk ejen pengguna dan pengesahan berasaskan IP, dengan semakan pengendali manual, yang menonjolkan metodologi serangan yang sangat berdisiplin dan matang.

Strategi Penargetan Serantau Diperluas Merentasi Eropah Timur

Aktiviti semasa nampaknya tertumpu terutamanya pada entiti ketenteraan, pertahanan dan kerajaan di Ukraine. Walau bagaimanapun, operasi yang dikaitkan dengan Ghostwriter di Poland dan Lithuania menunjukkan strategi penargetan yang lebih luas yang merangkumi pelbagai sektor kritikal:

  • Organisasi perindustrian dan pembuatan
  • Institusi penjagaan kesihatan dan farmaseutikal
  • Penyedia logistik
  • Agensi kerajaan

Evolusi berterusan perkakasan, mekanisme penghantaran dan amalan keselamatan operasi Ghostwriter menggariskan kegigihan dan kebolehsuaian kumpulan itu. Keupayaannya untuk menggabungkan dokumen umpan tersuai, penghantaran muatan terpilih, teknik anti-analisis dan pengesahan mangsa manual menunjukkan keupayaan pengintipan siber yang canggih yang direka untuk mengelak pengesanan sambil memaksimumkan impak operasi.

Trending

Paling banyak dilihat

Memuatkan...