PicassoLoader JavaScript Variant
Группа киберпреступников, известная как Ghostwriter, связана с новой волной кибератак, направленных против правительственных организаций в Украине. Действуя как минимум с 2016 года, группа зарекомендовала себя как организатор кибершпионажа и кампаний по оказанию влияния в Восточной Европе, уделяя особое внимание Украине и соседним государствам.
Злоумышленник также отслеживается под несколькими псевдонимами, включая FrostyNeighbor, PUSHCHA, Storm-0257, TA445, UAC-0057, Umbral Bison, UNC1151 и White Lynx. За эти годы группа постоянно совершенствовала свою инфраструктуру, цепочки атак и методы обхода, стремясь обойти средства контроля безопасности и поддерживать долгосрочную оперативную эффективность.
Оглавление
Постоянно развивающийся арсенал вредоносного ПО
Компания Ghostwriter постоянно модернизирует свою экосистему вредоносного ПО и методы его распространения. В ранних кампаниях активно использовалось семейство вредоносных программ PicassoLoader, которое функционировало как механизм доставки дополнительных полезных нагрузок, таких как Cobalt Strike Beacon и njRAT.
В конце 2023 года группа расширила свои возможности, используя уязвимость WinRAR CVE-2023-38831 для распространения PicassoLoader и Cobalt Strike. В следующем году польские организации стали мишенью фишинговой кампании, которая использовала уязвимость межсайтового скриптинга в Roundcube, идентифицированную как CVE-2024-42009. Вредоносная деятельность позволила злоумышленникам выполнять JavaScript-код, способный собирать учетные данные электронной почты жертв.
Взломанные учетные записи впоследствии использовались для проверки содержимого почтовых ящиков, кражи списков контактов и распространения дополнительных фишинговых сообщений в июне 2025 года. К концу 2025 года группа также внедрила в свою деятельность передовые методы противодействия анализу. В некоторых документах-приманках стала использоваться динамическая проверка CAPTCHA для выборочной активации цепочки вредоносного заражения и нарушения работы автоматизированных сред анализа.
Изощрённые целевые фишинговые кампании нацелены на Украину.
Начиная с марта 2026 года исследователи наблюдают новую кампанию, направленную на украинские государственные учреждения посредством целевых фишинговых писем с вредоносными PDF-вложениями. Поддельные документы имитируют украинского телекоммуникационного провайдера «Укртелеком», чтобы выглядеть легитимными и повысить вовлеченность жертв.
Схема атаки основана на встроенных ссылках в PDF-файлах, которые перенаправляют жертв на вредоносный RAR-архив, содержащий полезную нагрузку на основе JavaScript. После запуска вредоносная программа отображает поддельный документ, чтобы сохранить иллюзию легитимности, одновременно незаметно запуская в фоновом режиме JavaScript-вариант PicassoLoader. Затем загрузчик развертывает Cobalt Strike Beacon на скомпрометированных системах.
Геозонирование и проверка личности жертвы повышают скрытность.
Одним из наиболее примечательных аспектов последней кампании является внедрение геозонирования и многоуровневых механизмов проверки личности жертв. Системы, подключающиеся с IP-адресов за пределами Украины, получают безвредный PDF-контент вместо вредоносной программы, что значительно снижает уязвимость для исследователей и автоматизированных систем сканирования.
Вредоносная программа также выполняет обширную идентификацию скомпрометированных хостов перед доставкой дополнительных полезных нагрузок. Собранная информация о системе передается на контролируемую злоумышленником инфраструктуру каждые десять минут, что позволяет операторам вручную определять, заслуживает ли жертва дальнейшей эксплуатации. Только после завершения этого процесса проверки инфраструктура доставляет JavaScript-дроппер третьего этапа, ответственный за установку Cobalt Strike Beacon.
Операция сочетает в себе автоматизированные методы фильтрации, включая проверку на основе пользовательских агентов и IP-адресов, с ручной проверкой оператором, что подчеркивает высокодисциплинированную и отработанную методологию атаки.
Расширение стратегии регионального таргетинга на Восточную Европу.
Текущая деятельность, по всей видимости, сосредоточена в основном на военных, оборонных и правительственных структурах Украины. Однако операции, приписываемые Ghostwriter в Польше и Литве, демонстрируют более широкую стратегию нацеливания, охватывающую множество критически важных секторов:
- Промышленные и производственные организации
- Медицинские и фармацевтические учреждения
- Поставщики логистических услуг
- правительственные учреждения
Постоянное совершенствование инструментов Ghostwriter, механизмов доставки и методов обеспечения операционной безопасности подчеркивает настойчивость и адаптивность группы. Способность сочетать специально разработанные документы-приманки, выборочную доставку полезной нагрузки, методы противодействия анализу и ручную проверку жертв демонстрирует сложные возможности кибершпионажа, разработанные для избежания обнаружения при одновременном максимизации оперативного воздействия.
