Попуст за више лиценци
Тхреат Датабасе Малваре Варијанта JavaScript-а за PicassoLoader

Варијанта JavaScript-а за PicassoLoader

До Mezo. у Малваре, Напредна трајна претња (АПТ)
Преведи на:

Група за претње позната као Ghostwriter повезана је са новим таласом сајбер напада усмерених на владине организације у Украјини. Активна од најмање 2016. године, група је изградила репутацију за спровођење сајбер шпијунаже и кампања утицаја широм Источне Европе, са снажним оперативним фокусом на Украјину и суседне државе.

Претња се такође прати под неколико псеудонима, укључујући FrostyNeighbor, PUSHCHA, Storm-0257, TA445, UAC-0057, Umbral Bison, UNC1151 и White Lynx. Током година, група је континуирано усавршавала своју инфраструктуру, ланце напада и методе избегавања у настојању да заобиђе безбедносне контроле и одржи дугорочну оперативну ефикасност.

Арсенал злонамерног софтвера који се стално развија

Ghostwriter је константно модернизовао свој екосистем злонамерног софтвера и технике испоруке. Раније кампање су се у великој мери ослањале на породицу злонамерног софтвера PicassoLoader, која је функционисала као механизам испоруке додатних корисних садржаја као што су Cobalt Strike Beacon и njRAT.

Крајем 2023. године, група је проширила своје могућности искоришћавањем рањивости CVE-2023-38831 у WinRAR-у за дистрибуцију PicassoLoader-а и Cobalt Strike-а. Следеће године, пољске организације су постале мете фишинг кампање која је злоупотребљавала грешку у међусајтском скриптовању у Roundcube-у, идентификовану као CVE-2024-42009. Злонамерна активност је омогућила нападачима да покрећу JavaScript код способан за прикупљање е-маил података од жртава.

Компромитовани налози су касније коришћени за преглед садржаја поштанских сандучића, крађу листа контаката и дистрибуцију додатних фишинг порука током јуна 2025. године. До краја 2025. године, група је такође интегрисала напредне технике анти-аналитике у своје операције. Одређени документи мамац почели су да користе динамичку CAPTCHA верификацију како би селективно активирали ланац злонамерне инфекције и фрустрирали аутоматизована окружења за анализу.

Софистициране фишинг кампање усмерене на Украјину

Од марта 2026. године, истраживачи су приметили нову кампању усмерену ка украјинским владиним институцијама путем фишинг имејлова који садрже злонамерне PDF прилоге. Лажни документи се представљају као украјински телекомуникациони провајдер Укртелеком у настојању да изгледају легитимно и повећају ангажованост жртава.

Ланац напада се ослања на уграђене линкове унутар PDF датотека који преусмеравају жртве на злонамерну RAR архиву која садржи корисни терет заснован на JavaScript-у. Једном покренут, злонамерни софтвер приказује документ мамац како би сачувао илузију легитимности, док тихо покреће JavaScript варијанту PicassoLoader-а у позадини. Програм за учитавање података потом покреће Cobalt Strike Beacon на компромитованим системима.

Геофенсинг и валидација жртве побољшавају прикривеност

Један од најзначајнијих аспеката најновије кампање је имплементација геофенсинга и слојевитих механизама за валидацију жртава. Системи који се повезују са ИП адреса ван Украјине добијају безопасни ПДФ садржај уместо злонамерног корисног терета, значајно смањујући изложеност истраживачима и аутоматизованим системима за скенирање.

Злонамерни софтвер такође врши опсежно скенирање отисака компромитованих хостова пре него што испоручи додатне корисне податке. Прикупљене системске информације се преносе на инфраструктуру коју контролише нападач сваких десет минута, омогућавајући оператерима да ручно утврде да ли жртва захтева даљу експлоатацију. Тек након што је овај процес валидације завршен, инфраструктура испоручује JavaScript дропер треће фазе који је одговоран за инсталирање Cobalt Strike Beacon-а.

Операција комбинује аутоматизоване методе филтрирања, укључујући верификацију корисничког агента и IP адресе, са ручним прегледом оператера, истичући високо дисциплиновану и зрелу методологију напада.

Регионална стратегија циљања се шири широм Источне Европе

Тренутне активности изгледа да су првенствено усмерене на војне, одбрамбене и владине ентитете у Украјини. Међутим, операције које се приписују организацији Ghostwriter у Пољској и Литванији показују ширу стратегију циљања која се протеже на више критичних сектора:

  • Индустријске и производне организације
  • Здравствене и фармацеутске установе
  • Логистички добављачи
  • Владине агенције

Континуирана еволуција алата, механизама испоруке и пракси оперативне безбедности компаније Ghostwriter истиче упорност и прилагодљивост групе. Њена способност да комбинује прилагођене документе за примамљиваче, селективну испоруку корисног терета, технике анти-анализе и ручну валидацију жртава демонстрира софистицирану способност сајбер шпијунаже дизајнирану да избегне откривање уз максимизирање оперативног утицаја.

У тренду

Упозорење о испоручивости имејла Превара путем имејла

Пецање, Спам
Неочекиване имејлове увек треба третирати са опрезом, посебно када стварају осећај хитности или захтевају осетљиве информације. Сајбер криминалци често прикривају фишинг поруке као легитимна обавештења од поузданих добављача услуга у покушају да преваре примаоце и наведу их да открију личне податке. Такозвани имејлови са „упозорењем о испоруци имејла“ су јасан пример ове тактике. Ове поруке...

Најгледанији

Учитавање...