Rabatttilbud for flere lisenser
Trusseldatabase Skadelig programvare PicassoLoader JavaScript-variant

PicassoLoader JavaScript-variant

Med Mezo i Skadelig programvare, Advanced Persistent Threat (APT)
Oversett til:

Trusselgruppen kjent som Ghostwriter har blitt knyttet til en ny bølge av cyberangrep rettet mot statlige organisasjoner i Ukraina. Gruppen har vært aktiv siden minst 2016 og har bygget et rykte for å utføre både cyberspionasje og påvirkningskampanjer over hele Øst-Europa, med et sterkt operativt fokus på Ukraina og nabolandene.

Trusselaktøren spores også under flere alias, inkludert FrostyNeighbor, PUSHCHA, Storm-0257, TA445, UAC-0057, Umbral Bison, UNC1151 og White Lynx. Gjennom årene har gruppen kontinuerlig forbedret sin infrastruktur, angrepskjeder og unnvikelsesmetoder i et forsøk på å omgå sikkerhetskontroller og opprettholde langsiktig operativ effektivitet.

Stadig utviklende arsenal av skadelig programvare

Ghostwriter har konsekvent modernisert sitt økosystem for skadelig programvare og leveringsteknikker. Tidligere kampanjer var i stor grad avhengige av PicassoLoader-familien av skadelig programvare, som fungerte som en leveringsmekanisme for ytterligere nyttelaster som Cobalt Strike Beacon og njRAT.

Sent i 2023 utvidet gruppen sine muligheter ved å utnytte WinRAR-sårbarheten CVE-2023-38831 for å distribuere PicassoLoader og Cobalt Strike. Året etter ble polske organisasjoner mål for en phishing-kampanje som misbrukte en skriptfeil på tvers av nettsteder i Roundcube identifisert som CVE-2024-42009. Den ondsinnede aktiviteten gjorde det mulig for angripere å kjøre JavaScript som var i stand til å samle e-postlegitimasjon fra ofrene.

Kompromitterte kontoer ble senere brukt til å inspisere innhold i postkasser, stjele kontaktlister og distribuere ytterligere phishing-meldinger i løpet av juni 2025. Innen utgangen av 2025 hadde gruppen også integrert avanserte antianalyseteknikker i driften. Enkelte lokkedokumenter begynte å bruke dynamisk CAPTCHA-verifisering for selektivt å aktivere den ondsinnede infeksjonskjeden og frustrere automatiserte analysemiljøer.

Sofistikerte spear-phishing-kampanjer retter seg mot Ukraina

Siden mars 2026 har forskere observert en ny kampanje rettet mot ukrainske myndigheter gjennom spear-phishing-e-poster med ondsinnede PDF-vedlegg. De falske dokumentene utgir seg for å være den ukrainske telekommunikasjonsleverandøren Ukrtelecom i et forsøk på å virke legitim og øke offerengasjementet.

Angrepskjeden er avhengig av innebygde lenker i PDF-filene som omdirigerer ofrene til et ondsinnet RAR-arkiv som inneholder en JavaScript-basert nyttelast. Når den er kjørt, viser skadevaren et lokkedokument for å bevare illusjonen av legitimitet, samtidig som den i stillhet starter en JavaScript-variant av PicassoLoader i bakgrunnen. Lasteren distribuerer deretter Cobalt Strike Beacon på kompromitterte systemer.

Geofencing og offervalidering forbedrer stealth

Et av de mest bemerkelsesverdige aspektene ved den siste kampanjen er implementeringen av geofencing og lagdelte mekanismer for offervalidering. Systemer som kobler seg til fra IP-adresser utenfor Ukraina mottar harmløst PDF-innhold i stedet for den ondsinnede nyttelasten, noe som reduserer eksponeringen for forskere og automatiserte skannesystemer betydelig.

Skadevaren utfører også omfattende fingeravtrykksanalyse av kompromitterte verter før den leverer ytterligere nyttelaster. Innsamlet systeminformasjon overføres til angriperkontrollert infrastruktur hvert tiende minutt, slik at operatører manuelt kan avgjøre om et offer rettferdiggjør ytterligere utnyttelse. Først etter at denne valideringsprosessen er fullført, leverer infrastrukturen en JavaScript-dropper i tredje trinn som er ansvarlig for å installere Cobalt Strike Beacon.

Operasjonen kombinerer automatiserte filtreringsmetoder, inkludert brukeragent- og IP-basert verifisering, med manuell operatørgjennomgang, noe som fremhever en svært disiplinert og moden angrepsmetodikk.

Regional målrettingsstrategi utvides over hele Øst-Europa

Nåværende aktivitet ser ut til å fokusere primært på militære, forsvars- og statlige enheter i Ukraina. Operasjoner tilskrevet Ghostwriter i Polen og Litauen viser imidlertid en bredere målrettingsstrategi som strekker seg inn i flere kritiske sektorer:

  • Industri- og produksjonsorganisasjoner
  • Helse- og farmasøytiske institusjoner
  • Logistikkleverandører
  • Offentlige etater

Den fortsatte utviklingen av Ghostwriters verktøy, leveringsmekanismer og operasjonelle sikkerhetspraksiser understreker gruppens utholdenhet og tilpasningsevne. Evnen til å kombinere tilpassede lokkedokumenter, selektiv levering av nyttelast, antianalyseteknikker og manuell offervalidering demonstrerer en sofistikert cyberspionasjekapasitet designet for å unngå oppdagelse samtidig som den operative effekten maksimeres.

Trender

Mest sett

Laster inn...