ਪਿਕਾਸੋਲੋਡਰ ਜਾਵਾ ਸਕ੍ਰਿਪਟ ਵੇਰੀਐਂਟ

ਘੋਸਟ ਰਾਈਟਰ ਵਜੋਂ ਜਾਣੇ ਜਾਂਦੇ ਧਮਕੀ ਸਮੂਹ ਨੂੰ ਯੂਕਰੇਨ ਵਿੱਚ ਸਰਕਾਰੀ ਸੰਗਠਨਾਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਣ ਵਾਲੇ ਸਾਈਬਰ ਹਮਲਿਆਂ ਦੀ ਇੱਕ ਨਵੀਂ ਲਹਿਰ ਨਾਲ ਜੋੜਿਆ ਗਿਆ ਹੈ। ਘੱਟੋ-ਘੱਟ 2016 ਤੋਂ ਸਰਗਰਮ, ਇਸ ਸਮੂਹ ਨੇ ਪੂਰਬੀ ਯੂਰਪ ਵਿੱਚ ਸਾਈਬਰ ਜਾਸੂਸੀ ਅਤੇ ਪ੍ਰਭਾਵ ਮੁਹਿੰਮਾਂ ਦੋਵਾਂ ਨੂੰ ਚਲਾਉਣ ਲਈ ਇੱਕ ਸਾਖ ਬਣਾਈ ਹੈ, ਜਿਸਦਾ ਯੂਕਰੇਨ ਅਤੇ ਗੁਆਂਢੀ ਰਾਜਾਂ 'ਤੇ ਇੱਕ ਮਜ਼ਬੂਤ ਸੰਚਾਲਨ ਕੇਂਦਰ ਹੈ।

ਧਮਕੀ ਦੇਣ ਵਾਲੇ ਇਸ ਵਿਅਕਤੀ ਨੂੰ ਕਈ ਉਪਨਾਮਾਂ ਹੇਠ ਵੀ ਟਰੈਕ ਕੀਤਾ ਜਾਂਦਾ ਹੈ, ਜਿਨ੍ਹਾਂ ਵਿੱਚ FrostyNeighbor, PUSHCHA, Storm-0257, TA445, UAC-0057, Umbral Bison, UNC1151, ਅਤੇ White Lynx ਸ਼ਾਮਲ ਹਨ। ਪਿਛਲੇ ਸਾਲਾਂ ਦੌਰਾਨ, ਸਮੂਹ ਨੇ ਸੁਰੱਖਿਆ ਨਿਯੰਤਰਣਾਂ ਨੂੰ ਬਾਈਪਾਸ ਕਰਨ ਅਤੇ ਲੰਬੇ ਸਮੇਂ ਦੀ ਸੰਚਾਲਨ ਪ੍ਰਭਾਵਸ਼ੀਲਤਾ ਨੂੰ ਬਣਾਈ ਰੱਖਣ ਦੀ ਕੋਸ਼ਿਸ਼ ਵਿੱਚ ਆਪਣੇ ਬੁਨਿਆਦੀ ਢਾਂਚੇ, ਹਮਲੇ ਦੀਆਂ ਚੇਨਾਂ ਅਤੇ ਚੋਰੀ ਦੇ ਤਰੀਕਿਆਂ ਨੂੰ ਲਗਾਤਾਰ ਸੁਧਾਰਿਆ ਹੈ।

ਲਗਾਤਾਰ ਵਿਕਸਤ ਹੋ ਰਿਹਾ ਮਾਲਵੇਅਰ ਆਰਸੈਨਲ

ਘੋਸਟਰਾਈਟਰ ਨੇ ਆਪਣੇ ਮਾਲਵੇਅਰ ਈਕੋਸਿਸਟਮ ਅਤੇ ਡਿਲੀਵਰੀ ਤਕਨੀਕਾਂ ਨੂੰ ਲਗਾਤਾਰ ਆਧੁਨਿਕ ਬਣਾਇਆ ਹੈ। ਪਹਿਲਾਂ ਦੀਆਂ ਮੁਹਿੰਮਾਂ ਪਿਕਾਸੋਲੋਡਰ ਮਾਲਵੇਅਰ ਪਰਿਵਾਰ 'ਤੇ ਬਹੁਤ ਜ਼ਿਆਦਾ ਨਿਰਭਰ ਕਰਦੀਆਂ ਸਨ, ਜੋ ਕਿ ਕੋਬਾਲਟ ਸਟ੍ਰਾਈਕ ਬੀਕਨ ਅਤੇ njRAT ਵਰਗੇ ਵਾਧੂ ਪੇਲੋਡਾਂ ਲਈ ਡਿਲੀਵਰੀ ਵਿਧੀ ਵਜੋਂ ਕੰਮ ਕਰਦੇ ਸਨ।

2023 ਦੇ ਅਖੀਰ ਵਿੱਚ, ਸਮੂਹ ਨੇ ਪਿਕਾਸੋਲੋਡਰ ਅਤੇ ਕੋਬਾਲਟ ਸਟ੍ਰਾਈਕ ਨੂੰ ਵੰਡਣ ਲਈ WinRAR ਕਮਜ਼ੋਰੀ CVE-2023-38831 ਦਾ ਸ਼ੋਸ਼ਣ ਕਰਕੇ ਆਪਣੀਆਂ ਸਮਰੱਥਾਵਾਂ ਦਾ ਵਿਸਤਾਰ ਕੀਤਾ। ਅਗਲੇ ਸਾਲ, ਪੋਲਿਸ਼ ਸੰਗਠਨ ਇੱਕ ਫਿਸ਼ਿੰਗ ਮੁਹਿੰਮ ਦਾ ਨਿਸ਼ਾਨਾ ਬਣ ਗਏ ਜਿਸਨੇ CVE-2024-42009 ਵਜੋਂ ਪਛਾਣੇ ਗਏ ਰਾਉਂਡਕਿਊਬ ਵਿੱਚ ਇੱਕ ਕਰਾਸ-ਸਾਈਟ ਸਕ੍ਰਿਪਟਿੰਗ ਨੁਕਸ ਦੀ ਦੁਰਵਰਤੋਂ ਕੀਤੀ। ਖਤਰਨਾਕ ਗਤੀਵਿਧੀ ਨੇ ਹਮਲਾਵਰਾਂ ਨੂੰ ਪੀੜਤਾਂ ਤੋਂ ਈਮੇਲ ਪ੍ਰਮਾਣ ਪੱਤਰ ਪ੍ਰਾਪਤ ਕਰਨ ਦੇ ਸਮਰੱਥ JavaScript ਨੂੰ ਚਲਾਉਣ ਦੇ ਯੋਗ ਬਣਾਇਆ।

ਬਾਅਦ ਵਿੱਚ ਜੂਨ 2025 ਦੌਰਾਨ ਮੇਲਬਾਕਸ ਸਮੱਗਰੀ ਦੀ ਜਾਂਚ ਕਰਨ, ਸੰਪਰਕ ਸੂਚੀਆਂ ਚੋਰੀ ਕਰਨ ਅਤੇ ਵਾਧੂ ਫਿਸ਼ਿੰਗ ਸੁਨੇਹੇ ਵੰਡਣ ਲਈ ਸਮਝੌਤਾ ਕੀਤੇ ਗਏ ਖਾਤਿਆਂ ਦੀ ਵਰਤੋਂ ਕੀਤੀ ਗਈ। 2025 ਦੇ ਅੰਤ ਤੱਕ, ਸਮੂਹ ਨੇ ਆਪਣੇ ਕਾਰਜਾਂ ਵਿੱਚ ਉੱਨਤ ਐਂਟੀ-ਵਿਸ਼ਲੇਸ਼ਣ ਤਕਨੀਕਾਂ ਨੂੰ ਵੀ ਸ਼ਾਮਲ ਕਰ ਲਿਆ ਸੀ। ਕੁਝ ਲਾਲਚ ਦਸਤਾਵੇਜ਼ਾਂ ਨੇ ਖਤਰਨਾਕ ਇਨਫੈਕਸ਼ਨ ਚੇਨ ਨੂੰ ਚੋਣਵੇਂ ਤੌਰ 'ਤੇ ਸਰਗਰਮ ਕਰਨ ਅਤੇ ਸਵੈਚਾਲਿਤ ਵਿਸ਼ਲੇਸ਼ਣ ਵਾਤਾਵਰਣ ਨੂੰ ਨਿਰਾਸ਼ ਕਰਨ ਲਈ ਗਤੀਸ਼ੀਲ ਕੈਪਟਚਾ ਤਸਦੀਕ ਦੀ ਵਰਤੋਂ ਕਰਨੀ ਸ਼ੁਰੂ ਕਰ ਦਿੱਤੀ।

ਸੂਝਵਾਨ ਸਪੀਅਰ-ਫਿਸ਼ਿੰਗ ਮੁਹਿੰਮਾਂ ਯੂਕਰੇਨ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਂਦੀਆਂ ਹਨ

ਮਾਰਚ 2026 ਤੋਂ, ਖੋਜਕਰਤਾਵਾਂ ਨੇ ਯੂਕਰੇਨੀ ਸਰਕਾਰੀ ਸੰਸਥਾਵਾਂ 'ਤੇ ਇੱਕ ਨਵੀਂ ਮੁਹਿੰਮ ਦੇਖੀ ਹੈ ਜਿਸ ਵਿੱਚ ਸਪੀਅਰ-ਫਿਸ਼ਿੰਗ ਈਮੇਲਾਂ ਰਾਹੀਂ ਖਤਰਨਾਕ PDF ਅਟੈਚਮੈਂਟਾਂ ਹਨ। ਨਕਲੀ ਦਸਤਾਵੇਜ਼ ਯੂਕਰੇਨੀ ਦੂਰਸੰਚਾਰ ਪ੍ਰਦਾਤਾ Ukrtelecom ਦਾ ਰੂਪ ਧਾਰਨ ਕਰਦੇ ਹਨ ਤਾਂ ਜੋ ਉਹ ਜਾਇਜ਼ ਦਿਖਾਈ ਦੇ ਸਕਣ ਅਤੇ ਪੀੜਤਾਂ ਦੀ ਸ਼ਮੂਲੀਅਤ ਨੂੰ ਵਧਾ ਸਕਣ।

ਹਮਲੇ ਦੀ ਲੜੀ PDF ਫਾਈਲਾਂ ਦੇ ਅੰਦਰ ਏਮਬੈਡ ਕੀਤੇ ਲਿੰਕਾਂ 'ਤੇ ਨਿਰਭਰ ਕਰਦੀ ਹੈ ਜੋ ਪੀੜਤਾਂ ਨੂੰ ਇੱਕ ਖਤਰਨਾਕ RAR ਆਰਕਾਈਵ ਵੱਲ ਰੀਡਾਇਰੈਕਟ ਕਰਦੇ ਹਨ ਜਿਸ ਵਿੱਚ JavaScript-ਅਧਾਰਿਤ ਪੇਲੋਡ ਹੁੰਦਾ ਹੈ। ਇੱਕ ਵਾਰ ਲਾਗੂ ਹੋਣ ਤੋਂ ਬਾਅਦ, ਮਾਲਵੇਅਰ ਇੱਕ ਡੀਕੋਏ ਦਸਤਾਵੇਜ਼ ਪ੍ਰਦਰਸ਼ਿਤ ਕਰਦਾ ਹੈ ਤਾਂ ਜੋ ਜਾਇਜ਼ਤਾ ਦੇ ਭਰਮ ਨੂੰ ਸੁਰੱਖਿਅਤ ਰੱਖਿਆ ਜਾ ਸਕੇ ਜਦੋਂ ਕਿ ਚੁੱਪਚਾਪ ਬੈਕਗ੍ਰਾਉਂਡ ਵਿੱਚ PicassoLoader ਦੇ ਇੱਕ JavaScript ਰੂਪ ਨੂੰ ਲਾਂਚ ਕੀਤਾ ਜਾ ਸਕੇ। ਲੋਡਰ ਬਾਅਦ ਵਿੱਚ ਸਮਝੌਤਾ ਕੀਤੇ ਸਿਸਟਮਾਂ 'ਤੇ ਕੋਬਾਲਟ ਸਟ੍ਰਾਈਕ ਬੀਕਨ ਨੂੰ ਤੈਨਾਤ ਕਰਦਾ ਹੈ।

ਜੀਓਫੈਂਸਿੰਗ ਅਤੇ ਪੀੜਤ ਪ੍ਰਮਾਣਿਕਤਾ ਸਟੀਲਥ ਨੂੰ ਵਧਾਉਂਦੀ ਹੈ

ਨਵੀਨਤਮ ਮੁਹਿੰਮ ਦੇ ਸਭ ਤੋਂ ਮਹੱਤਵਪੂਰਨ ਪਹਿਲੂਆਂ ਵਿੱਚੋਂ ਇੱਕ ਜੀਓਫੈਂਸਿੰਗ ਅਤੇ ਲੇਅਰਡ ਪੀੜਤ ਪ੍ਰਮਾਣਿਕਤਾ ਵਿਧੀਆਂ ਨੂੰ ਲਾਗੂ ਕਰਨਾ ਹੈ। ਯੂਕਰੇਨ ਤੋਂ ਬਾਹਰਲੇ IP ਪਤਿਆਂ ਤੋਂ ਜੁੜਨ ਵਾਲੇ ਸਿਸਟਮ ਖਤਰਨਾਕ ਪੇਲੋਡ ਦੀ ਬਜਾਏ ਨੁਕਸਾਨ ਰਹਿਤ PDF ਸਮੱਗਰੀ ਪ੍ਰਾਪਤ ਕਰਦੇ ਹਨ, ਜਿਸ ਨਾਲ ਖੋਜਕਰਤਾਵਾਂ ਅਤੇ ਸਵੈਚਾਲਿਤ ਸਕੈਨਿੰਗ ਪ੍ਰਣਾਲੀਆਂ ਦੇ ਸੰਪਰਕ ਵਿੱਚ ਕਾਫ਼ੀ ਕਮੀ ਆਉਂਦੀ ਹੈ।

ਇਹ ਮਾਲਵੇਅਰ ਵਾਧੂ ਪੇਲੋਡ ਪ੍ਰਦਾਨ ਕਰਨ ਤੋਂ ਪਹਿਲਾਂ ਸਮਝੌਤਾ ਕੀਤੇ ਗਏ ਹੋਸਟਾਂ ਦੀ ਵਿਆਪਕ ਫਿੰਗਰਪ੍ਰਿੰਟਿੰਗ ਵੀ ਕਰਦਾ ਹੈ। ਇਕੱਠੀ ਕੀਤੀ ਸਿਸਟਮ ਜਾਣਕਾਰੀ ਹਰ ਦਸ ਮਿੰਟਾਂ ਵਿੱਚ ਹਮਲਾਵਰ-ਨਿਯੰਤਰਿਤ ਬੁਨਿਆਦੀ ਢਾਂਚੇ ਵਿੱਚ ਪ੍ਰਸਾਰਿਤ ਕੀਤੀ ਜਾਂਦੀ ਹੈ, ਜਿਸ ਨਾਲ ਓਪਰੇਟਰਾਂ ਨੂੰ ਹੱਥੀਂ ਇਹ ਨਿਰਧਾਰਤ ਕਰਨ ਦੇ ਯੋਗ ਬਣਾਇਆ ਜਾਂਦਾ ਹੈ ਕਿ ਕੀ ਪੀੜਤ ਹੋਰ ਸ਼ੋਸ਼ਣ ਦੀ ਵਾਰੰਟੀ ਦਿੰਦਾ ਹੈ। ਇਸ ਪ੍ਰਮਾਣਿਕਤਾ ਪ੍ਰਕਿਰਿਆ ਦੇ ਪੂਰਾ ਹੋਣ ਤੋਂ ਬਾਅਦ ਹੀ ਬੁਨਿਆਦੀ ਢਾਂਚਾ ਕੋਬਾਲਟ ਸਟ੍ਰਾਈਕ ਬੀਕਨ ਨੂੰ ਸਥਾਪਤ ਕਰਨ ਲਈ ਜ਼ਿੰਮੇਵਾਰ ਤੀਜੇ-ਪੜਾਅ ਦੇ ਜਾਵਾ ਸਕ੍ਰਿਪਟ ਡਰਾਪਰ ਪ੍ਰਦਾਨ ਕਰਦਾ ਹੈ।

ਇਹ ਓਪਰੇਸ਼ਨ ਆਟੋਮੇਟਿਡ ਫਿਲਟਰਿੰਗ ਵਿਧੀਆਂ ਨੂੰ ਜੋੜਦਾ ਹੈ, ਜਿਸ ਵਿੱਚ ਯੂਜ਼ਰ-ਏਜੰਟ ਅਤੇ IP-ਅਧਾਰਿਤ ਤਸਦੀਕ ਸ਼ਾਮਲ ਹੈ, ਮੈਨੂਅਲ ਆਪਰੇਟਰ ਸਮੀਖਿਆ ਦੇ ਨਾਲ, ਇੱਕ ਬਹੁਤ ਹੀ ਅਨੁਸ਼ਾਸਿਤ ਅਤੇ ਪਰਿਪੱਕ ਹਮਲੇ ਵਿਧੀ ਨੂੰ ਉਜਾਗਰ ਕਰਦਾ ਹੈ।

ਖੇਤਰੀ ਨਿਸ਼ਾਨਾ ਬਣਾਉਣ ਦੀ ਰਣਨੀਤੀ ਪੂਰਬੀ ਯੂਰਪ ਵਿੱਚ ਫੈਲਦੀ ਹੈ

ਮੌਜੂਦਾ ਗਤੀਵਿਧੀ ਮੁੱਖ ਤੌਰ 'ਤੇ ਯੂਕਰੇਨ ਵਿੱਚ ਫੌਜੀ, ਰੱਖਿਆ ਅਤੇ ਸਰਕਾਰੀ ਸੰਸਥਾਵਾਂ 'ਤੇ ਕੇਂਦ੍ਰਿਤ ਜਾਪਦੀ ਹੈ। ਹਾਲਾਂਕਿ, ਪੋਲੈਂਡ ਅਤੇ ਲਿਥੁਆਨੀਆ ਵਿੱਚ ਘੋਸਟ ਰਾਈਟਰ ਨੂੰ ਜ਼ਿੰਮੇਵਾਰ ਠਹਿਰਾਏ ਗਏ ਕਾਰਜ ਇੱਕ ਵਿਆਪਕ ਨਿਸ਼ਾਨਾ ਬਣਾਉਣ ਵਾਲੀ ਰਣਨੀਤੀ ਦਾ ਪ੍ਰਦਰਸ਼ਨ ਕਰਦੇ ਹਨ ਜੋ ਕਈ ਮਹੱਤਵਪੂਰਨ ਖੇਤਰਾਂ ਵਿੱਚ ਫੈਲਦੀ ਹੈ:

• ਉਦਯੋਗਿਕ ਅਤੇ ਨਿਰਮਾਣ ਸੰਗਠਨ
• ਸਿਹਤ ਸੰਭਾਲ ਅਤੇ ਫਾਰਮਾਸਿਊਟੀਕਲ ਸੰਸਥਾਵਾਂ
• ਲੌਜਿਸਟਿਕਸ ਪ੍ਰਦਾਤਾ
• ਸਰਕਾਰੀ ਏਜੰਸੀਆਂ

ਘੋਸਟਰਾਈਟਰ ਦੇ ਟੂਲਿੰਗ, ਡਿਲੀਵਰੀ ਵਿਧੀਆਂ, ਅਤੇ ਸੰਚਾਲਨ ਸੁਰੱਖਿਆ ਅਭਿਆਸਾਂ ਦਾ ਨਿਰੰਤਰ ਵਿਕਾਸ ਸਮੂਹ ਦੀ ਦ੍ਰਿੜਤਾ ਅਤੇ ਅਨੁਕੂਲਤਾ ਨੂੰ ਦਰਸਾਉਂਦਾ ਹੈ। ਅਨੁਕੂਲਿਤ ਲਾਲਚ ਦਸਤਾਵੇਜ਼ਾਂ, ਚੋਣਵੇਂ ਪੇਲੋਡ ਡਿਲੀਵਰੀ, ਐਂਟੀ-ਵਿਸ਼ਲੇਸ਼ਣ ਤਕਨੀਕਾਂ, ਅਤੇ ਮੈਨੂਅਲ ਪੀੜਤ ਪ੍ਰਮਾਣਿਕਤਾ ਨੂੰ ਜੋੜਨ ਦੀ ਇਸਦੀ ਯੋਗਤਾ ਇੱਕ ਸੂਝਵਾਨ ਸਾਈਬਰ-ਜਾਸੂਸੀ ਸਮਰੱਥਾ ਨੂੰ ਦਰਸਾਉਂਦੀ ਹੈ ਜੋ ਸੰਚਾਲਨ ਪ੍ਰਭਾਵ ਨੂੰ ਵੱਧ ਤੋਂ ਵੱਧ ਕਰਦੇ ਹੋਏ ਖੋਜ ਤੋਂ ਬਚਣ ਲਈ ਤਿਆਰ ਕੀਤੀ ਗਈ ਹੈ।