Baryante ng JavaScript ng PicassoLoader
Ang grupong nagbabanta na kilala bilang Ghostwriter ay naiugnay sa isang bagong bugso ng mga cyberattack na tumatarget sa mga organisasyon ng gobyerno sa Ukraine. Aktibo simula pa noong 2016, ang grupo ay nakabuo ng reputasyon sa pagsasagawa ng parehong cyber espionage at mga kampanya ng impluwensya sa buong Silangang Europa, na may malakas na pokus sa operasyon sa Ukraine at mga kalapit na estado.
Ang aktor ng banta ay sinusubaybayan din sa ilalim ng ilang mga alyas, kabilang ang FrostyNeighbor, PUSHCHA, Storm-0257, TA445, UAC-0057, Umbral Bison, UNC1151, at White Lynx. Sa paglipas ng mga taon, patuloy na pinagbuti ng grupo ang imprastraktura, mga kadena ng pag-atake, at mga pamamaraan ng pag-iwas sa pagsisikap na malampasan ang mga kontrol sa seguridad at mapanatili ang pangmatagalang bisa ng operasyon.
Talaan ng mga Nilalaman
Patuloy na Nagbabagong Malware Arsenal
Patuloy na pinamoderno ng Ghostwriter ang ecosystem at mga pamamaraan ng paghahatid ng malware nito. Ang mga naunang kampanya ay lubos na umasa sa pamilya ng malware na PicassoLoader, na gumana bilang mekanismo ng paghahatid para sa mga karagdagang payload tulad ng Cobalt Strike Beacon at njRAT.
Sa huling bahagi ng 2023, pinalawak ng grupo ang mga kakayahan nito sa pamamagitan ng pagsasamantala sa kahinaan ng WinRAR na CVE-2023-38831 upang ipamahagi ang PicassoLoader at Cobalt Strike. Nang sumunod na taon, ang mga organisasyong Polish ay naging target ng isang kampanya sa phishing na umabuso sa isang cross-site scripting flaw sa Roundcube na kinilala bilang CVE-2024-42009. Ang malisyosong aktibidad ay nagbigay-daan sa mga umaatake na magpatakbo ng JavaScript na may kakayahang kumuha ng mga kredensyal sa email mula sa mga biktima.
Ang mga nakompromisong account ay ginamit kalaunan upang siyasatin ang mga nilalaman ng mailbox, magnakaw ng mga listahan ng contact, at mamahagi ng mga karagdagang mensahe ng phishing noong Hunyo 2025. Sa pagtatapos ng 2025, isinama rin ng grupo ang mga advanced na pamamaraan ng anti-analysis sa mga operasyon nito. Ang ilang mga dokumento ng pang-akit ay nagsimulang gumamit ng dynamic na pag-verify ng CAPTCHA upang piliing i-activate ang malisyosong kadena ng impeksyon at hadlangan ang mga awtomatikong kapaligiran ng pagsusuri.
Tinatarget ng mga Sopistikadong Kampanya ng Spear-Phishing ang Ukraine
Mula noong Marso 2026, naobserbahan ng mga mananaliksik ang isang bagong kampanya na nakadirekta sa mga institusyon ng gobyerno ng Ukraine sa pamamagitan ng mga email na spear-phishing na naglalaman ng mga malisyosong PDF attachment. Ang mga decoy na dokumento ay nagpapanggap na tagapagbigay ng telekomunikasyon sa Ukraine na Ukrtelecom sa pagsisikap na magmukhang lehitimo at mapataas ang pakikipag-ugnayan ng mga biktima.
Ang kadena ng pag-atake ay umaasa sa mga naka-embed na link sa loob ng mga PDF file na nagre-redirect sa mga biktima sa isang malisyosong RAR archive na naglalaman ng isang payload na nakabatay sa JavaScript. Kapag naisagawa na, ang malware ay magpapakita ng isang decoy document upang mapanatili ang ilusyon ng pagiging lehitimo habang tahimik na naglulunsad ng isang JavaScript variant ng PicassoLoader sa background. Kasunod nito, idine-deploy ng loader ang Cobalt Strike Beacon sa mga nakompromisong system.
Pinahuhusay ng Geofencing at Victim Validation ang Stealth
Isa sa mga pinakakapansin-pansing aspeto ng pinakabagong kampanya ay ang pagpapatupad ng geofencing at mga mekanismo ng layered victim validation. Ang mga system na kumokonekta mula sa mga IP address sa labas ng Ukraine ay tumatanggap ng hindi nakakapinsalang nilalamang PDF sa halip na ang malisyosong payload, na makabuluhang nagbabawas sa pagkakalantad sa mga mananaliksik at mga automated scanning system.
Nagsasagawa rin ang malware ng malawakang fingerprinting ng mga nakompromisong host bago maghatid ng mga karagdagang payload. Ang nakolektang impormasyon ng system ay ipinapadala sa imprastraktura na kontrolado ng attacker kada sampung minuto, na nagbibigay-daan sa mga operator na manu-manong matukoy kung ang isang biktima ay nararapat sa karagdagang pagsasamantala. Pagkatapos lamang makumpleto ang proseso ng pagpapatunay na ito saka lamang maghahatid ang imprastraktura ng isang third-stage JavaScript dropper na responsable para sa pag-install ng Cobalt Strike Beacon.
Pinagsasama ng operasyon ang mga awtomatikong pamamaraan ng pagsala, kabilang ang user-agent at IP-based na beripikasyon, kasama ang manu-manong pagsusuri ng operator, na nagtatampok ng isang lubos na disiplinado at mature na metodolohiya ng pag-atake.
Lumalawak ang Istratehiya sa Pag-target sa Rehiyon sa Buong Silangang Europa
Ang kasalukuyang aktibidad ay tila pangunahing nakatuon sa mga entidad ng militar, depensa, at pamahalaan sa Ukraine. Gayunpaman, ang mga operasyon na iniuugnay sa Ghostwriter sa Poland at Lithuania ay nagpapakita ng mas malawak na diskarte sa pag-target na umaabot sa maraming kritikal na sektor:
- Mga organisasyong pang-industriya at pagmamanupaktura
- Mga institusyong pangkalusugan at parmasyutiko
- Mga tagapagbigay ng logistik
- Mga ahensya ng gobyerno
Ang patuloy na ebolusyon ng mga kagamitan, mekanismo ng paghahatid, at mga kasanayan sa seguridad sa operasyon ng Ghostwriter ay nagbibigay-diin sa pagtitiyaga at kakayahang umangkop ng grupo. Ang kakayahan nitong pagsamahin ang mga customized na dokumento ng pang-akit, piling paghahatid ng payload, mga pamamaraan laban sa pagsusuri, at manu-manong pagpapatunay ng biktima ay nagpapakita ng isang sopistikadong kakayahan sa cyber-espionage na idinisenyo upang maiwasan ang pagtuklas habang pinapakinabangan ang epekto sa operasyon.
