Rabattoffert för flera licenser
Hotdatabas Skadlig programvara PicassoLoader JavaScript-variant

PicassoLoader JavaScript-variant

Med Mezo år Skadlig programvara, Advanced Persistent Threat (APT)
Översätt till:

Hotgruppen känd som Ghostwriter har kopplats till en ny våg av cyberattacker riktade mot statliga organisationer i Ukraina. Gruppen har varit aktiv sedan åtminstone 2016 och har byggt upp ett rykte för att bedriva både cyberspionage och påverkanskampanjer över hela Östeuropa, med ett starkt operativt fokus på Ukraina och grannländerna.

Hotaktören spåras också under flera alias, inklusive FrostyNeighbor, PUSHCHA, Storm-0257, TA445, UAC-0057, Umbral Bison, UNC1151 och White Lynx. Under årens lopp har gruppen kontinuerligt förfinat sin infrastruktur, attackkedjor och undvikningsmetoder i ett försök att kringgå säkerhetskontroller och upprätthålla långsiktig operativ effektivitet.

Ständigt utvecklande arsenal av skadlig kod

Ghostwriter har konsekvent moderniserat sitt ekosystem för skadlig kod och sina leveranstekniker. Tidigare kampanjer förlitade sig i hög grad på PicassoLoader-familjen av skadliga program, som fungerade som en leveransmekanism för ytterligare nyttolaster som Cobalt Strike Beacon och njRAT.

I slutet av 2023 utökade gruppen sina möjligheter genom att utnyttja WinRAR-sårbarheten CVE-2023-38831 för att distribuera PicassoLoader och Cobalt Strike. Året därpå blev polska organisationer måltavlor för en nätfiskekampanj som missbrukade en skriptfel över flera webbplatser i Roundcube identifierad som CVE-2024-42009. Den skadliga aktiviteten gjorde det möjligt för angripare att köra JavaScript som kunde samla in e-postadresser från offer.

Kompromitterade konton användes senare för att inspektera innehållet i brevlådor, stjäla kontaktlistor och distribuera ytterligare nätfiskemeddelanden under juni 2025. I slutet av 2025 hade gruppen också integrerat avancerade antianalystekniker i sin verksamhet. Vissa lockdokument började använda dynamisk CAPTCHA-verifiering för att selektivt aktivera den skadliga infektionskedjan och störa automatiserade analysmiljöer.

Sofistikerade spear-phishing-kampanjer riktar sig mot Ukraina

Sedan mars 2026 har forskare observerat en ny kampanj riktad mot ukrainska myndigheter genom spear-phishing-mejl med skadliga PDF-bilagor. De lockande dokumenten utger sig för att vara den ukrainska telekommunikationsleverantören Ukrtelecom i ett försök att framstå som legitim och öka offrens engagemang.

Attackkedjan förlitar sig på inbäddade länkar i PDF-filerna som omdirigerar offer till ett skadligt RAR-arkiv som innehåller en JavaScript-baserad nyttolast. När den skadliga programvaran har körts visar den ett lockbeteendedokument för att bevara illusionen av legitimitet samtidigt som den tyst startar en JavaScript-variant av PicassoLoader i bakgrunden. Laddaren distribuerar sedan Cobalt Strike Beacon på komprometterade system.

Geofencing och offervalidering förbättrar smygtekniken

En av de mest anmärkningsvärda aspekterna av den senaste kampanjen är implementeringen av geofencing och mekanismer för validering av offer i flera lager. System som ansluter från IP-adresser utanför Ukraina får ofarligt PDF-innehåll istället för den skadliga nyttolasten, vilket avsevärt minskar exponeringen för forskare och automatiserade skanningssystem.

Skadlig programvara utför också omfattande fingeravtryckstagning av komprometterade värdar innan ytterligare nyttolaster levereras. Insamlad systeminformation överförs till angriparkontrollerad infrastruktur var tionde minut, vilket gör det möjligt för operatörer att manuellt avgöra om ett offer motiverar ytterligare utnyttjande. Först efter att denna valideringsprocess är klar levererar infrastrukturen en JavaScript-dropper i tredje steget som ansvarar för att installera Cobalt Strike Beacon.

Operationen kombinerar automatiserade filtreringsmetoder, inklusive verifiering via användaragent och IP-baserad verifiering, med manuell operatörsgranskning, vilket belyser en mycket disciplinerad och mogen angreppsmetodik.

Regional målgruppsstrategi expanderar över hela Östeuropa

Nuvarande aktivitet verkar främst fokusera på militära, försvars- och statliga enheter i Ukraina. Operationer som tillskrivs Ghostwriter i Polen och Litauen visar dock på en bredare målinriktad strategi som sträcker sig till flera kritiska sektorer:

  • Industri- och tillverkningsorganisationer
  • Hälso- och sjukvårds- och läkemedelsinstitutioner
  • Logistikleverantörer
  • Myndigheter

Den fortsatta utvecklingen av Ghostwriters verktyg, leveransmekanismer och operativa säkerhetsrutiner understryker gruppens uthållighet och anpassningsförmåga. Dess förmåga att kombinera anpassade lockdokument, selektiv leverans av nyttolast, antianalystekniker och manuell offervalidering visar på en sofistikerad cyberspionagekapacitet utformad för att undvika upptäckt samtidigt som den operativa effekten maximeras.

Trendigt

Mest sedda

Läser in...