Oferta rabatowa na wiele licencji
Baza danych zagrożeń Złośliwe oprogramowanie Wariant JavaScript PicassoLoader

Wariant JavaScript PicassoLoader

Do Mezo w Złośliwe oprogramowanie, Zaawansowane trwałe zagrożenie (APT)
Przetłumacz na:

Grupa zagrożeń znana jako Ghostwriter została powiązana z nową falą cyberataków na organizacje rządowe na Ukrainie. Działająca co najmniej od 2016 roku, grupa zyskała reputację prowadzenia zarówno cyberszpiegostwa, jak i kampanii wpływu w Europie Wschodniej, ze szczególnym naciskiem operacyjnym na Ukrainę i państwa sąsiednie.

Aktor zagrożenia jest również śledzony pod kilkoma pseudonimami, w tym FrostyNeighbor, PUSHCHA, Storm-0257, TA445, UAC-0057, Umbral Bison, UNC1151 i White Lynx. Przez lata grupa stale udoskonalała swoją infrastrukturę, łańcuchy ataków i metody unikania ataków, aby ominąć zabezpieczenia i utrzymać długoterminową skuteczność operacyjną.

Stale ewoluujący arsenał złośliwego oprogramowania

Ghostwriter konsekwentnie modernizuje swój ekosystem złośliwego oprogramowania i techniki jego dostarczania. Wcześniejsze kampanie w dużej mierze opierały się na rodzinie złośliwego oprogramowania PicassoLoader, która pełniła funkcję mechanizmu dostarczającego dodatkowe ładunki, takie jak Cobalt Strike Beacon i njRAT.

Pod koniec 2023 roku grupa rozszerzyła swoje możliwości, wykorzystując lukę w zabezpieczeniach WinRAR CVE-2023-38831 do dystrybucji programów PicassoLoader i Cobalt Strike. W następnym roku polskie organizacje stały się celem kampanii phishingowej, która wykorzystywała lukę typu cross-site scripting w Roundcube, zidentyfikowaną jako CVE-2024-42009. Ta szkodliwa aktywność umożliwiła atakującym wykonywanie kodu JavaScript, który mógł zbierać dane uwierzytelniające adresy e-mail ofiar.

Zhakowane konta zostały później wykorzystane do inspekcji zawartości skrzynek pocztowych, kradzieży list kontaktów i dystrybucji kolejnych wiadomości phishingowych w czerwcu 2025 roku. Do końca 2025 roku grupa zintegrowała również zaawansowane techniki anty-analizy ze swoimi działaniami. Niektóre dokumenty-przynęty zaczęły wykorzystywać dynamiczną weryfikację CAPTCHA, aby selektywnie aktywować złośliwy łańcuch infekcji i udaremniać zautomatyzowane środowiska analityczne.

Wyrafinowane kampanie spear-phishingowe wymierzone w Ukrainę

Od marca 2026 roku badacze obserwują nową kampanię skierowaną przeciwko ukraińskim instytucjom rządowym za pośrednictwem wiadomości e-mail typu spear phishing zawierających złośliwe załączniki PDF. Dokumenty-przynęty podszywają się pod ukraińskiego dostawcę usług telekomunikacyjnych Ukrtelecom, aby sprawiać wrażenie legalnych i zwiększyć zaangażowanie ofiar.

Łańcuch ataku opiera się na osadzonych linkach w plikach PDF, które przekierowują ofiary do złośliwego archiwum RAR zawierającego ładunek oparty na JavaScript. Po uruchomieniu, złośliwe oprogramowanie wyświetla fałszywy dokument, aby zachować iluzję autentyczności, jednocześnie po cichu uruchamiając w tle wariant PicassoLoadera oparty na JavaScript. Następnie program ładujący wdraża Cobalt Strike Beacon w zainfekowanych systemach.

Geofencing i walidacja ofiar zwiększają ukrycie

Jednym z najważniejszych aspektów najnowszej kampanii jest wdrożenie geofencingu i wielowarstwowych mechanizmów walidacji ofiar. Systemy łączące się z adresów IP spoza Ukrainy otrzymują nieszkodliwą zawartość PDF zamiast złośliwego oprogramowania, co znacznie ogranicza narażenie na ataki badaczy i zautomatyzowanych systemów skanujących.

Szkodliwe oprogramowanie przeprowadza również rozbudowane skanowanie zainfekowanych hostów przed dostarczeniem dodatkowych ładunków. Zebrane informacje systemowe są przesyłane do infrastruktury kontrolowanej przez atakującego co dziesięć minut, umożliwiając operatorom ręczne określenie, czy ofiara uzasadnia dalszą eksploatację. Dopiero po zakończeniu tego procesu walidacji infrastruktura dostarcza dropper JavaScript trzeciego etapu odpowiedzialny za instalację Cobalt Strike Beacon.

Operacja ta łączy w sobie zautomatyzowane metody filtrowania, w tym weryfikację opartą na agencie użytkownika i adresie IP, z ręcznym przeglądem przeprowadzanym przez operatora, co świadczy o niezwykle zdyscyplinowanej i dojrzałej metodologii ataku.

Strategia regionalnego kierowania rozszerza się na całą Europę Wschodnią

Obecna działalność wydaje się koncentrować głównie na jednostkach wojskowych, obronnych i rządowych na Ukrainie. Jednak operacje przypisywane Ghostwriterowi w Polsce i na Litwie świadczą o szerszej strategii ukierunkowanej, obejmującej wiele kluczowych sektorów:

  • Organizacje przemysłowe i produkcyjne
  • Instytucje opieki zdrowotnej i farmaceutyczne
  • Dostawcy usług logistycznych
  • Agencje rządowe

Ciągła ewolucja narzędzi, mechanizmów dostarczania i praktyk bezpieczeństwa operacyjnego Ghostwritera podkreśla wytrwałość i zdolność adaptacji grupy. Jej zdolność do łączenia spersonalizowanych dokumentów wabiących, selektywnego dostarczania danych, technik anty-analizy i ręcznej walidacji ofiar świadczy o wyrafinowanym potencjale cybernetycznego szpiegostwa, zaprojektowanym w celu uniknięcia wykrycia przy jednoczesnej maksymalizacji wpływu operacyjnego.

Popularne

Oszustwo e-mailowe z alertem o niedostarczalności...

Phishing, Spam
Nieoczekiwane wiadomości e-mail należy zawsze traktować z ostrożnością, zwłaszcza gdy stwarzają poczucie pilności lub wymagają podania poufnych informacji. Cyberprzestępcy często maskują wiadomości phishingowe jako legalne powiadomienia od zaufanych dostawców usług, próbując w ten sposób nakłonić odbiorców do ujawnienia danych osobowych. Tak zwane wiadomości e-mail z alertem o dostarczalności...

Najczęściej oglądane

Ładowanie...