Kuota e zbritjes me shumë licencë
Baza e të dhënave të kërcënimeve Malware Varianti JavaScript i PicassoLoader

Varianti JavaScript i PicassoLoader

Nga MezoMalware, Kërcënimi i avancuar i vazhdueshëm (APT)
Përkthe në:

Grupi kërcënues i njohur si Ghostwriter është lidhur me një valë të re sulmesh kibernetike që synojnë organizatat qeveritare në Ukrainë. Aktiv që të paktën nga viti 2016, grupi ka ndërtuar një reputacion për kryerjen e fushatave të spiunazhit kibernetik dhe ndikimit në të gjithë Evropën Lindore, me një fokus të fortë operacional në Ukrainë dhe shtetet fqinje.

Aktori kërcënues gjurmohet gjithashtu nën disa pseudonime, duke përfshirë FrostyNeighbor, PUSHCHA, Storm-0257, TA445, UAC-0057, Umbral Bison, UNC1151 dhe White Lynx. Gjatë viteve, grupi ka rafinuar vazhdimisht infrastrukturën e tij, zinxhirët e sulmit dhe metodat e shmangies në një përpjekje për të anashkaluar kontrollet e sigurisë dhe për të ruajtur efektivitetin operacional afatgjatë.

Arsenal Malware në Zhvillim të Vazhdueshëm

Ghostwriter ka modernizuar vazhdimisht ekosistemin e tij të malware-it dhe teknikat e shpërndarjes. Fushatat e mëparshme mbështeteshin shumë në familjen e malware-it PicassoLoader, e cila funksiononte si një mekanizëm shpërndarjeje për ngarkesa shtesë si Cobalt Strike Beacon dhe njRAT.

Në fund të vitit 2023, grupi zgjeroi aftësitë e tij duke shfrytëzuar dobësinë WinRAR CVE-2023-38831 për të shpërndarë PicassoLoader dhe Cobalt Strike. Vitin pasardhës, organizatat polake u bënë shënjestra të një fushate phishing që abuzoi me një të metë skriptimi ndërfaqësor në Roundcube të identifikuar si CVE-2024-42009. Aktiviteti keqdashës u mundësoi sulmuesve të ekzekutonin JavaScript të aftë për të mbledhur kredencialet e email-it nga viktimat.

Llogaritë e kompromentuara u përdorën më vonë për të inspektuar përmbajtjen e kutisë postare, për të vjedhur listat e kontakteve dhe për të shpërndarë mesazhe shtesë phishing gjatë qershorit 2025. Deri në fund të vitit 2025, grupi kishte integruar gjithashtu teknika të përparuara anti-analizë në operacionet e tij. Disa dokumente joshëse filluan të përdorin verifikimin dinamik CAPTCHA për të aktivizuar në mënyrë selektive zinxhirin e infeksionit keqdashës dhe për të penguar mjediset e automatizuara të analizës.

Fushatat e sofistikuara të phishingut synojnë Ukrainën

Që nga marsi i vitit 2026, studiuesit kanë vërejtur një fushatë të re të drejtuar ndaj institucioneve qeveritare ukrainase përmes emaileve “spear-phishing” që përmbanin bashkëngjitje PDF me qëllim të keq. Dokumentet mashtruese imitojnë ofruesin ukrainas të telekomunikacionit Ukrtelecom në një përpjekje për t'u dukur legjitimë dhe për të rritur angazhimin e viktimave.

Zinxhiri i sulmit mbështetet në lidhje të integruara brenda skedarëve PDF që i ridrejtojnë viktimat në një arkiv RAR keqdashës që përmban një ngarkesë të bazuar në JavaScript. Pasi ekzekutohet, programi keqdashës shfaq një dokument mashtrues për të ruajtur iluzionin e legjitimitetit, ndërsa në heshtje nis një variant JavaScript të PicassoLoader në sfond. Ngarkuesi më pas vendos Cobalt Strike Beacon në sistemet e kompromentuara.

Gjeofencimi dhe Validimi i Viktimave Përmirësojnë Instalth-in

Një nga aspektet më të dukshme të fushatës së fundit është zbatimi i gjeofencimit dhe mekanizmave të validimit të viktimave me shtresa. Sistemet që lidhen nga adresat IP jashtë Ukrainës marrin përmbajtje PDF të padëmshme në vend të ngarkesës së dëmshme, duke zvogëluar ndjeshëm ekspozimin ndaj studiuesve dhe sistemeve të automatizuara të skanimit.

Malware gjithashtu kryen marrje të gjurmëve të gishtërinjve të gjerë të hosteve të kompromentuara përpara se të dërgojë ngarkesa shtesë. Informacioni i mbledhur i sistemit transmetohet në infrastrukturën e kontrolluar nga sulmuesi çdo dhjetë minuta, duke u mundësuar operatorëve të përcaktojnë manualisht nëse një viktimë meriton shfrytëzim të mëtejshëm. Vetëm pasi të përfundojë ky proces validimi, infrastruktura dërgon një lëshues JavaScript të fazës së tretë përgjegjës për instalimin e Cobalt Strike Beacon.

Operacioni kombinon metodat e automatizuara të filtrimit, duke përfshirë verifikimin e agjentit të përdoruesit dhe verifikimin e bazuar në IP, me rishikimin manual nga operatori, duke nxjerrë në pah një metodologji sulmi shumë të disiplinuar dhe të pjekur.

Strategjia Rajonale e Targetimit Zgjerohet në të gjithë Evropën Lindore

Aktiviteti aktual duket se përqendrohet kryesisht në njësitë ushtarake, mbrojtëse dhe qeveritare në Ukrainë. Megjithatë, operacionet që i atribuohen Ghostwriter në Poloni dhe Lituani demonstrojnë një strategji më të gjerë synimi që shtrihet në sektorë të shumtë kritikë:

  • Organizatat industriale dhe prodhuese
  • Institucionet e kujdesit shëndetësor dhe farmaceutik
  • Ofruesit e logjistikës
  • Agjencitë qeveritare

Evolucioni i vazhdueshëm i mjeteve, mekanizmave të shpërndarjes dhe praktikave të sigurisë operacionale të Ghostwriter nënvizon këmbënguljen dhe përshtatshmërinë e grupit. Aftësia e tij për të kombinuar dokumente të personalizuara të joshjes, shpërndarjen selektive të ngarkesës, teknikat anti-analizë dhe validimin manual të viktimave demonstron një aftësi të sofistikuar të spiunazhit kibernetik të projektuar për të shmangur zbulimin duke maksimizuar ndikimin operacional.

Në trend

Mashtrim me email për paralajmërim për dërgim emaili

Fishing, Spam
Emailet e papritura duhet të trajtohen gjithmonë me kujdes, veçanërisht kur krijojnë një ndjesi urgjence ose kërkojnë informacione të ndjeshme. Kriminelët kibernetikë shpesh i maskojnë mesazhet e phishing si njoftime legjitime nga ofruesit e shërbimeve të besuara në një përpjekje për të mashtruar marrësit që të zbulojnë të dhëna personale. Emailet e ashtuquajtura "Alarm për Dorëzimin e...

Më e shikuara

Po ngarkohet...