ใบเสนอราคาส่วนลดใบอนุญาตหลายใบ
ฐานข้อมูลภัยคุกคาม มัลแวร์ PicassoLoader เวอร์ชัน JavaScript

PicassoLoader เวอร์ชัน JavaScript

โดย Mezo ใน มัลแวร์, ภัยคุกคามขั้นสูงที่คงอยู่ (APT)
แปลเป็น:

กลุ่มแฮ็กเกอร์ที่รู้จักกันในชื่อ Ghostwriter ถูกเชื่อมโยงกับคลื่นการโจมตีทางไซเบอร์ครั้งใหม่ที่มุ่งเป้าไปที่องค์กรภาครัฐในยูเครน กลุ่มนี้เคลื่อนไหวมาตั้งแต่ปี 2016 เป็นอย่างน้อย และมีชื่อเสียงในการดำเนินการจารกรรมทางไซเบอร์และแคมเปญแทรกแซงในยุโรปตะวันออก โดยเน้นการปฏิบัติการในยูเครนและประเทศเพื่อนบ้านเป็นหลัก

กลุ่มผู้ก่อภัยคุกคามนี้ยังถูกติดตามภายใต้ชื่อแฝงหลายชื่อ ได้แก่ FrostyNeighbor, PUSHCHA, Storm-0257, TA445, UAC-0057, Umbral Bison, UNC1151 และ White Lynx ตลอดหลายปีที่ผ่านมา กลุ่มนี้ได้ปรับปรุงโครงสร้างพื้นฐาน รูปแบบการโจมตี และวิธีการหลบเลี่ยงอย่างต่อเนื่อง เพื่อหลีกเลี่ยงการควบคุมความปลอดภัยและรักษาประสิทธิภาพในการปฏิบัติงานในระยะยาว

คลังมัลแวร์ที่พัฒนาอย่างต่อเนื่อง

Ghostwriter ได้ปรับปรุงระบบนิเวศของมัลแวร์และเทคนิคการส่งมอบอย่างต่อเนื่อง แคมเปญก่อนหน้านี้พึ่งพาตระกูลมัลแวร์ PicassoLoader เป็นอย่างมาก ซึ่งทำหน้าที่เป็นกลไกในการส่งมอบเพย์โหลดเพิ่มเติม เช่น Cobalt Strike Beacon และ njRAT

ในช่วงปลายปี 2023 กลุ่มดังกล่าวได้ขยายขีดความสามารถโดยใช้ประโยชน์จากช่องโหว่ CVE-2023-38831 ของ WinRAR เพื่อเผยแพร่ PicassoLoader และ Cobalt Strike ในปีต่อมา องค์กรในโปแลนด์ตกเป็นเป้าหมายของแคมเปญฟิชชิงที่ใช้ประโยชน์จากช่องโหว่ Cross-Site Scripting ใน Roundcube ซึ่งระบุว่าเป็น CVE-2024-42009 กิจกรรมที่เป็นอันตรายนี้ทำให้ผู้โจมตีสามารถเรียกใช้ JavaScript ที่สามารถเก็บเกี่ยวข้อมูลประจำตัวอีเมลจากเหยื่อได้

บัญชีที่ถูกแฮ็กถูกนำไปใช้ตรวจสอบเนื้อหาในกล่องจดหมาย ขโมยรายชื่อผู้ติดต่อ และเผยแพร่ข้อความฟิชชิงเพิ่มเติมในช่วงเดือนมิถุนายน ปี 2025 ภายในสิ้นปี 2025 กลุ่มดังกล่าวยังได้บูรณาการเทคนิคต่อต้านการวิเคราะห์ขั้นสูงเข้ากับการดำเนินงานของตนด้วย เอกสารล่อลวงบางฉบับเริ่มใช้การตรวจสอบ CAPTCHA แบบไดนามิกเพื่อเปิดใช้งานห่วงโซ่การติดเชื้อที่เป็นอันตรายอย่างเลือกสรร และขัดขวางสภาพแวดล้อมการวิเคราะห์อัตโนมัติ

แคมเปญฟิชชิ่งเจาะจงเป้าหมายที่ซับซ้อนมุ่งเป้าไปที่ยูเครน

ตั้งแต่เดือนมีนาคม พ.ศ. 2569 นักวิจัยได้สังเกตเห็นแคมเปญใหม่ที่มุ่งเป้าไปที่สถาบันของรัฐบาลยูเครนผ่านอีเมลฟิชชิงแบบเจาะจงเป้าหมายซึ่งแนบไฟล์ PDF ที่เป็นอันตราย เอกสารล่อลวงดังกล่าวปลอมตัวเป็นผู้ให้บริการโทรคมนาคมของยูเครน Ukrtelecom เพื่อให้ดูเหมือนถูกต้องตามกฎหมายและเพิ่มการมีส่วนร่วมของเหยื่อ

กลไกการโจมตีอาศัยลิงก์ที่ฝังอยู่ในไฟล์ PDF ซึ่งจะนำเหยื่อไปยังไฟล์ RAR ที่เป็นอันตรายซึ่งบรรจุโค้ด JavaScript เมื่อไฟล์ RAR นั้นถูกเรียกใช้งาน มัลแวร์จะแสดงเอกสารล่อลวงเพื่อรักษาภาพลักษณ์ที่ถูกต้อง ในขณะที่เบื้องหลังจะเรียกใช้งาน PicassoLoader เวอร์ชัน JavaScript อย่างเงียบๆ จากนั้นตัวโหลดจะติดตั้ง Cobalt Strike Beacon บนระบบที่ถูกโจมตี

การกำหนดขอบเขตทางภูมิศาสตร์และการตรวจสอบตัวตนเหยื่อช่วยเพิ่มประสิทธิภาพในการพรางตัว

หนึ่งในแง่มุมที่โดดเด่นที่สุดของแคมเปญล่าสุดคือการนำระบบกำหนดขอบเขตทางภูมิศาสตร์ (geofencing) และกลไกการตรวจสอบเหยื่อแบบหลายชั้นมาใช้ ระบบที่เชื่อมต่อจากที่อยู่ IP นอกประเทศยูเครนจะได้รับเนื้อหา PDF ที่ไม่เป็นอันตรายแทนที่จะเป็นเพย์โหลดที่เป็นอันตราย ซึ่งช่วยลดการเปิดเผยข้อมูลต่อนักวิจัยและระบบสแกนอัตโนมัติได้อย่างมาก

มัลแวร์นี้ยังทำการตรวจสอบลายนิ้วมือของโฮสต์ที่ถูกโจมตีอย่างละเอียดก่อนที่จะส่งเพย์โหลดเพิ่มเติม ข้อมูลระบบที่รวบรวมได้จะถูกส่งไปยังโครงสร้างพื้นฐานที่ผู้โจมตีควบคุมทุกๆ สิบนาที ทำให้ผู้ปฏิบัติงานสามารถตรวจสอบด้วยตนเองได้ว่าเหยื่อสมควรได้รับการโจมตีเพิ่มเติมหรือไม่ หลังจากกระบวนการตรวจสอบนี้เสร็จสิ้น โครงสร้างพื้นฐานจึงจะส่งตัวปล่อย JavaScript ขั้นที่สามซึ่งมีหน้าที่ติดตั้ง Cobalt Strike Beacon

การปฏิบัติการนี้ผสมผสานวิธีการกรองอัตโนมัติ ซึ่งรวมถึงการตรวจสอบโดยใช้ User-Agent และ IP เข้ากับการตรวจสอบด้วยตนเองโดยผู้ปฏิบัติงาน ซึ่งแสดงให้เห็นถึงวิธีการโจมตีที่มีระเบียบวินัยและมีประสิทธิภาพสูง

กลยุทธ์การกำหนดเป้าหมายระดับภูมิภาคขยายวงกว้างไปทั่วยุโรปตะวันออก

กิจกรรมในปัจจุบันดูเหมือนจะมุ่งเน้นไปที่หน่วยงานทางทหาร การป้องกันประเทศ และภาครัฐในยูเครนเป็นหลัก อย่างไรก็ตาม ปฏิบัติการที่ระบุว่าเกี่ยวข้องกับกลุ่ม Ghostwriter ในโปแลนด์และลิทัวเนีย แสดงให้เห็นถึงกลยุทธ์การกำหนดเป้าหมายที่กว้างขึ้น ซึ่งขยายไปสู่ภาคส่วนสำคัญหลายภาคส่วน:

  • องค์กรอุตสาหกรรมและการผลิต
  • สถาบันด้านการดูแลสุขภาพและเภสัชกรรม
  • ผู้ให้บริการด้านโลจิสติกส์
  • หน่วยงานรัฐบาล

การพัฒนาอย่างต่อเนื่องของเครื่องมือ กลไกการส่งมอบ และแนวปฏิบัติด้านความปลอดภัยในการปฏิบัติงานของ Ghostwriter เน้นย้ำถึงความมุ่งมั่นและความสามารถในการปรับตัวของกลุ่ม ความสามารถในการผสมผสานเอกสารล่อลวงที่ปรับแต่งได้ การส่งมอบเพย์โหลดแบบเลือกสรร เทคนิคการต่อต้านการวิเคราะห์ และการตรวจสอบเหยื่อด้วยตนเอง แสดงให้เห็นถึงขีดความสามารถด้านการจารกรรมทางไซเบอร์ที่ซับซ้อน ซึ่งออกแบบมาเพื่อหลีกเลี่ยงการตรวจจับในขณะที่เพิ่มผลกระทบต่อการปฏิบัติงานให้สูงสุด

มาแรง

Isafe-net.com

เว็บไซต์อันธพาล
การปกป้องอุปกรณ์จากแอปพลิเคชันที่รุกล้ำและไม่น่าเชื่อถือเป็นสิ่งสำคัญสำหรับการรักษาความเป็นส่วนตัว ความปลอดภัย และประสิทธิภาพการทำงานของเบราว์เซอร์ที่เสถียร โปรแกรมที่ไม่พึงประสงค์ (PUPs)...

การแจ้งเตือนการส่งอีเมลไม่สำเร็จ อีเมลหลอกลวง

ฟิชชิ่ง, สแปม
อีเมลที่ไม่คาดคิดควรได้รับการพิจารณาอย่างรอบคอบเสมอ โดยเฉพาะอย่างยิ่งเมื่ออีเมลเหล่านั้นสร้างความรู้สึกเร่งด่วนหรือขอข้อมูลที่ละเอียดอ่อน อาชญากรไซเบอร์มักปลอมแปลงข้อความฟิชชิ่งให้ดูเหมือนการแจ้งเตือนที่ถูกต้องจากผู้ให้บริการที่น่าเชื่อถือ เพื่อหลอกลวงผู้รับให้เปิดเผยข้อมูลส่วนบุคคล อีเมลที่เรียกว่า 'การแจ้งเตือนการส่งอีเมล' เป็นตัวอย่างที่ชัดเจนของกลยุทธ์นี้...

Dologymant.co.in

เว็บไซต์อันธพาล, แอดแวร์, แฮกเกอร์เบราว์เซอร์
การท่องอินเทอร์เน็ตโดยไม่ระมัดระวังอาจทำให้ผู้ใช้เผชิญกับภัยคุกคามทางไซเบอร์มากมาย เว็บไซต์ที่ไม่พึงประสงค์มักใช้วิธีการหลอกลวงเพื่อชักจูงผู้เข้าชมให้ยินยอมหรือโต้ตอบกับเนื้อหาที่เป็นอันตราย...

เข้าชมมากที่สุด

เอพอนเนอร์ดอทคอม

ปัญหา
21,107
อินเทอร์เน็ตเป็นพื้นที่กว้างใหญ่ที่เต็มไปด้วยเนื้อหาที่มีประโยชน์ ความบันเทิง และข้อมูลต่างๆ แต่ก็มีมุมมืดด้วยเช่นกัน ไม่ว่าคุณจะกำลังสตรีมรายการ ดาวน์โหลดแอป...

Fuq.คอม

โปรแกรมต่อต้านสปายแวร์ Rogue, มัลแวร์ Mac
21,046
Fuq.com เป็นโปรแกรมประเภทแอดแวร์ที่ส่งเสริมเว็บไซต์ที่มีเนื้อหาอนาจาร แคมเปญโฆษณาของโปรแกรมที่อาจไม่เป็นที่ต้องการ (PUP) นี้มีความก้าวร้าวมาก...
กำลังโหลด...