Različica JavaScripta za PicassoLoader
Skupina Ghostwriter je bila povezana z novim valom kibernetskih napadov, usmerjenih proti vladnim organizacijam v Ukrajini. Skupina, ki deluje vsaj od leta 2016, si je ustvarila sloves izvajanja kibernetskega vohunjenja in kampanj vplivanja po vsej vzhodni Evropi, z močnim operativnim poudarkom na Ukrajini in sosednjih državah.
Grožnjega akterja spremljajo tudi pod več psevdonimi, vključno z FrostyNeighbor, PUSHCHA, Storm-0257, TA445, UAC-0057, Umbral Bison, UNC1151 in White Lynx. Skozi leta je skupina nenehno izpopolnjevala svojo infrastrukturo, verige napadov in metode izogibanja, da bi zaobšla varnostne kontrole in ohranila dolgoročno operativno učinkovitost.
Kazalo
Nenehno razvijajoči se arzenal zlonamerne programske opreme
Ghostwriter je dosledno posodabljal svoj ekosistem zlonamerne programske opreme in tehnike dostave. Prejšnje kampanje so se močno zanašale na družino zlonamerne programske opreme PicassoLoader, ki je delovala kot mehanizem za dostavo dodatnih koristnih tovorov, kot sta Cobalt Strike Beacon in njRAT.
Konec leta 2023 je skupina razširila svoje zmogljivosti z izkoriščanjem ranljivosti WinRAR CVE-2023-38831 za distribucijo programov PicassoLoader in Cobalt Strike. Naslednje leto so poljske organizacije postale tarče phishing kampanje, ki je zlorabljala napako medspletnega skriptanja v Roundcubeu, identificirano kot CVE-2024-42009. Zlonamerna dejavnost je napadalcem omogočila izvajanje JavaScripta, ki je lahko pridobival e-poštne poverilnice žrtev.
Ogroženi računi so bili kasneje junija 2025 uporabljeni za pregled vsebine poštnih nabiralnikov, krajo seznamov stikov in distribucijo dodatnih lažnih sporočil. Do konca leta 2025 je skupina v svoje delovanje vključila tudi napredne tehnike protianalize. Nekateri vabljivi dokumenti so začeli uporabljati dinamično preverjanje CAPTCHA za selektivno aktiviranje verige zlonamerne okužbe in onemogočanje avtomatiziranih analitičnih okolij.
Sofisticirane kampanje lažnega predstavljanja ciljajo na Ukrajino
Raziskovalci so od marca 2026 opazili novo kampanjo, usmerjeno proti ukrajinskim vladnim institucijam, prek e-poštnih sporočil z zlonamernimi prilogami PDF, namenjenih lažnemu predstavljanju. Lažni dokumenti se izdajajo za ukrajinskega telekomunikacijskega ponudnika Ukrtelecom, da bi se zdelo legitimno in povečalo angažiranost žrtev.
Napadalna veriga temelji na vdelanih povezavah v datotekah PDF, ki žrtve preusmerijo v zlonamerni arhiv RAR, ki vsebuje koristni tovor, ki temelji na JavaScriptu. Ko se zlonamerna programska oprema zažene, prikaže vabljiv dokument, da ohrani iluzijo legitimnosti, medtem ko v ozadju tiho zažene različico JavaScript programa PicassoLoader. Nalagalnik nato na ogrožene sisteme namesti Cobalt Strike Beacon.
Geofencing in potrjevanje žrtev izboljšata prikritost
Eden najpomembnejših vidikov najnovejše kampanje je uvedba geofencinga in večplastnih mehanizmov za preverjanje žrtev. Sistemi, ki se povezujejo z naslovov IP zunaj Ukrajine, namesto zlonamerne vsebine prejmejo neškodljivo vsebino PDF, kar znatno zmanjša izpostavljenost raziskovalcem in avtomatiziranim sistemom skeniranja.
Zlonamerna programska oprema pred dostavo dodatnih koristnih podatkov opravi tudi obsežno prstno odtisovanje ogroženih gostiteljev. Zbrane sistemske informacije se vsakih deset minut prenesejo v infrastrukturo, ki jo nadzoruje napadalec, kar operaterjem omogoča, da ročno ugotovijo, ali je žrtev upravičena do nadaljnjega izkoriščanja. Šele po končanem postopku preverjanja infrastruktura dostavi JavaScript dropper tretje stopnje, ki je odgovoren za namestitev Cobalt Strike Beacona.
Operacija združuje avtomatizirane metode filtriranja, vključno s preverjanjem uporabniških agentov in IP-naslovov, z ročnim pregledom operaterja, kar poudarja zelo disciplinirano in zrelo metodologijo napadov.
Regionalna strategija ciljanja se širi po vsej vzhodni Evropi
Trenutne dejavnosti se očitno osredotočajo predvsem na vojaške, obrambne in vladne subjekte v Ukrajini. Vendar pa operacije, ki se pripisujejo Ghostwriterju na Poljskem in v Litvi, kažejo na širšo strategijo ciljanja, ki sega v več kritičnih sektorjev:
- Industrijske in proizvodne organizacije
- Zdravstvene in farmacevtske ustanove
- Ponudniki logistike
- Vladne agencije
Nenehni razvoj orodij, mehanizmov dostave in praks operativne varnosti Ghostwriterja poudarja vztrajnost in prilagodljivost skupine. Njihova sposobnost kombiniranja prilagojenih dokumentov za vabljenje, selektivne dostave koristnega tovora, tehnik proti analizi in ročnega preverjanja žrtev dokazuje sofisticirano zmogljivost kibernetskega vohunjenja, zasnovano tako, da se izogne odkrivanju, hkrati pa poveča operativni učinek.
