Multilicenčná zľavová ponuka
Databáza hrozieb Malvér Variant JavaScriptu pre PicassoLoader

Variant JavaScriptu pre PicassoLoader

Do roku Mezo v roku Malvér, Pokročilá perzistentná hrozba (APT)
Preložiť do:

Skupina kybernetických útokov známa ako Ghostwriter bola spájaná s novou vlnou kybernetických útokov zameraných na vládne organizácie na Ukrajine. Skupina, ktorá pôsobí minimálne od roku 2016, si vybudovala reputáciu vykonávaním kybernetickej špionáže a vplyvových kampaní v celej východnej Európe so silným operačným zameraním na Ukrajinu a susedné štáty.

Hroziteľ je sledovaný aj pod niekoľkými prezývkami vrátane FrostyNeighbor, PUSHCHA, Storm-0257, TA445, UAC-0057, Umbral Bison, UNC1151 a White Lynx. V priebehu rokov skupina neustále zdokonaľovala svoju infraštruktúru, útočné reťazce a metódy úniku v snahe obísť bezpečnostné kontroly a udržať si dlhodobú operačnú efektívnosť.

Neustále sa vyvíjajúci arzenál malvéru

Ghostwriter neustále modernizuje svoj ekosystém škodlivého softvéru a techniky jeho doručovania. Skoršie kampane sa vo veľkej miere spoliehali na rodinu škodlivého softvéru PicassoLoader, ktorá fungovala ako mechanizmus doručovania ďalších dátových súborov, ako napríklad Cobalt Strike Beacon a njRAT.

Koncom roka 2023 skupina rozšírila svoje možnosti zneužitím zraniteľnosti CVE-2023-38831 v programe WinRAR na distribúciu softvéru PicassoLoader a Cobalt Strike. Nasledujúci rok sa poľské organizácie stali terčom phishingovej kampane, ktorá zneužívala chybu cross-site scripting v programe Roundcube, identifikovanú ako CVE-2024-42009. Škodlivá aktivita umožnila útočníkom spustiť JavaScript schopný zhromažďovať e-mailové prihlasovacie údaje od obetí.

Kompromitované účty boli neskôr v júni 2025 použité na kontrolu obsahu poštových schránok, krádež zoznamov kontaktov a distribúciu ďalších phishingových správ. Do konca roka 2025 skupina integrovala do svojich operácií aj pokročilé techniky antianalýzy. Niektoré lákavé dokumenty začali používať dynamické overovanie CAPTCHA na selektívnu aktiváciu reťazca škodlivej infekcie a marenie automatizovaných analytických prostredí.

Sofistikované phishingové kampane zamerané na Ukrajinu

Od marca 2026 výskumníci pozorujú novú kampaň namierenú proti ukrajinským vládnym inštitúciám prostredníctvom phishingových e-mailov so škodlivými PDF prílohami. Návnadové dokumenty sa vydávajú za ukrajinského telekomunikačného poskytovateľa Ukrtelecom v snahe pôsobiť legitímne a zvýšiť angažovanosť obetí.

Útočný reťazec sa spolieha na vložené odkazy v súboroch PDF, ktoré presmerujú obete na škodlivý archív RAR obsahujúci užitočné zaťaženie založené na JavaScripte. Po spustení malvér zobrazí návnadový dokument, aby zachoval ilúziu legitímnosti, a zároveň na pozadí potichu spustí variant PicassoLoaderu v JavaScripte. Zavádzač následne nasadí Cobalt Strike Beacon na napadnuté systémy.

Geofencing a overovanie obetí zlepšujú utajenie

Jedným z najpozoruhodnejších aspektov najnovšej kampane je implementácia geofencingu a viacvrstvových mechanizmov overovania obetí. Systémy pripájajúce sa z IP adries mimo Ukrajiny dostávajú namiesto škodlivého obsahu neškodný PDF obsah, čím sa výrazne znižuje vystavenie výskumníkom a automatizovaným skenovacím systémom.

Malvér tiež vykonáva rozsiahle odtlačky prstov napadnutých hostiteľov pred doručením ďalších údajov. Zozbierané systémové informácie sa prenášajú do infraštruktúry kontrolovanej útočníkom každých desať minút, čo umožňuje operátorom manuálne určiť, či si obeť zaslúži ďalšie zneužitie. Až po dokončení tohto overovacieho procesu infraštruktúra doručí tretiu fázu JavaScriptového dropperu zodpovedného za inštaláciu Cobalt Strike Beacon.

Táto operácia kombinuje automatizované metódy filtrovania vrátane overovania používateľskými agentmi a IP adresami s manuálnou kontrolou operátorom, čo zdôrazňuje vysoko disciplinovanú a zrelú metodiku útoku.

Stratégia regionálneho zacielenia sa rozširuje po celej východnej Európe

Súčasné aktivity sa zrejme zameriavajú predovšetkým na vojenské, obranné a vládne subjekty na Ukrajine. Operácie pripisované Ghostwriterovi v Poľsku a Litve však preukazujú širšiu stratégiu zacielenia, ktorá sa rozširuje do viacerých kritických sektorov:

  • Priemyselné a výrobné organizácie
  • Zdravotnícke a farmaceutické inštitúcie
  • Poskytovatelia logistických služieb
  • Vládne agentúry

Neustály vývoj nástrojov, mechanizmov doručovania a postupov operačnej bezpečnosti spoločnosti Ghostwriter podčiarkuje vytrvalosť a prispôsobivosť skupiny. Jej schopnosť kombinovať prispôsobené lákavé dokumenty, selektívne doručovanie užitočného zaťaženia, techniky antianalýzy a manuálne overovanie obetí demonštruje sofistikovanú schopnosť kybernetickej špionáže navrhnutú tak, aby sa vyhla odhaleniu a zároveň maximalizovala operačný dopad.

Trendy

Upozornenie na doručiteľnosť e-mailu – podvod s...

Phishing, Spam
S neočakávanými e-mailami by sa malo vždy zaobchádzať opatrne, najmä ak vyvolávajú pocit naliehavosti alebo vyžadujú citlivé informácie. Kyberzločinci často maskujú phishingové správy ako legitímne oznámenia od dôveryhodných poskytovateľov služieb v snahe oklamať príjemcov a prinútiť ich prezradiť osobné údaje. Jasným príkladom tejto taktiky sú takzvané e-maily s upozornením na doručiteľnosť....

Najviac videné

Načítava...