Çoklu Lisans İndirim Teklifi
Tehdit Veritabanı Kötü amaçlı yazılım PicassoLoader JavaScript Varyantı

PicassoLoader JavaScript Varyantı

Mezo'de Kötü amaçlı yazılım, Gelişmiş Sürekli Tehdit (APT)'de
Çevir:

Ghostwriter olarak bilinen tehdit grubu, Ukrayna'daki devlet kuruluşlarını hedef alan yeni bir siber saldırı dalgasıyla ilişkilendirildi. En az 2016'dan beri aktif olan grup, Doğu Avrupa genelinde siber casusluk ve etki kampanyaları yürütmesiyle tanınıyor ve operasyonel olarak Ukrayna ve komşu ülkelere odaklanıyor.

Tehdit aktörü ayrıca FrostyNeighbor, PUSHCHA, Storm-0257, TA445, UAC-0057, Umbral Bison, UNC1151 ve White Lynx gibi çeşitli takma adlar altında da takip ediliyor. Grup, yıllar içinde güvenlik kontrollerini aşmak ve uzun vadeli operasyonel etkinliği sürdürmek amacıyla altyapısını, saldırı zincirlerini ve kaçınma yöntemlerini sürekli olarak geliştirmiştir.

Sürekli Gelişen Kötü Amaçlı Yazılım Cephaneliği

Ghostwriter, kötü amaçlı yazılım ekosistemini ve dağıtım tekniklerini sürekli olarak modernize etmiştir. Daha önceki kampanyalar, Cobalt Strike Beacon ve njRAT gibi ek zararlı yazılımlar için bir dağıtım mekanizması görevi gören PicassoLoader kötü amaçlı yazılım ailesine büyük ölçüde dayanıyordu.

2023 yılının sonlarında, grup WinRAR'daki CVE-2023-38831 güvenlik açığını kullanarak PicassoLoader ve Cobalt Strike'ı dağıtmak suretiyle yeteneklerini genişletti. Ertesi yıl, Polonya kuruluşları, Roundcube'da CVE-2024-42009 olarak tanımlanan bir çapraz site komut dosyası çalıştırma açığını kötüye kullanan bir kimlik avı kampanyasının hedefi haline geldi. Bu kötü amaçlı faaliyet, saldırganların kurbanlardan e-posta kimlik bilgilerini toplamaya olanak tanıyan JavaScript kodlarını çalıştırmasına imkan sağladı.

Ele geçirilen hesaplar daha sonra posta kutusu içeriklerini incelemek, iletişim listelerini çalmak ve Haziran 2025 boyunca ek kimlik avı mesajları dağıtmak için kullanıldı. 2025'in sonuna doğru, grup operasyonlarına gelişmiş analiz karşıtı teknikler de entegre etti. Bazı yem belgeleri, kötü amaçlı bulaşma zincirini seçici olarak etkinleştirmek ve otomatik analiz ortamlarını engellemek için dinamik CAPTCHA doğrulaması kullanmaya başladı.

Gelişmiş Oltalama Saldırıları Ukrayna’yı Hedef Alıyor

Mart 2026'dan bu yana araştırmacılar, kötü amaçlı PDF ekleri içeren hedefli kimlik avı e-postaları aracılığıyla Ukrayna hükümet kurumlarını hedef alan yeni bir kampanya gözlemledi. Tuzak belgeler, meşru görünmek ve mağdurun katılımını artırmak amacıyla Ukrayna telekomünikasyon sağlayıcısı Ukrtelecom'u taklit ediyor.

Saldırı zinciri, kurbanları JavaScript tabanlı bir zararlı yazılım içeren kötü amaçlı bir RAR arşivine yönlendiren PDF dosyaları içindeki gömülü bağlantılara dayanmaktadır. Çalıştırıldıktan sonra, zararlı yazılım meşruiyet yanılsamasını korumak için sahte bir belge görüntülerken arka planda sessizce PicassoLoader'ın JavaScript varyantını başlatır. Yükleyici daha sonra ele geçirilen sistemlere Cobalt Strike Beacon'ı dağıtır.

Coğrafi Sınırlandırma ve Mağdur Doğrulama Gizliliği Artırıyor

Son kampanyanın en dikkat çekici yönlerinden biri, coğrafi sınırlama ve katmanlı mağdur doğrulama mekanizmalarının uygulanmasıdır. Ukrayna dışındaki IP adreslerinden bağlanan sistemler, kötü amaçlı yazılım yerine zararsız PDF içeriği alıyor; bu da araştırmacıların ve otomatik tarama sistemlerinin maruz kalma riskini önemli ölçüde azaltıyor.

Kötü amaçlı yazılım, ek zararlı yazılımlar göndermeden önce ele geçirilen sunucuların kapsamlı bir şekilde parmak izini çıkarır. Toplanan sistem bilgileri her on dakikada bir saldırgan kontrolündeki altyapıya iletilir ve operatörlerin bir kurbanın daha fazla istismara değer olup olmadığını manuel olarak belirlemesine olanak tanır. Bu doğrulama işlemi tamamlandıktan sonra, altyapı Cobalt Strike Beacon'ı yüklemekten sorumlu üçüncü aşama JavaScript yükleyicisini gönderir.

Operasyon, kullanıcı aracısı ve IP tabanlı doğrulama da dahil olmak üzere otomatik filtreleme yöntemlerini manuel operatör incelemesiyle birleştirerek, son derece disiplinli ve olgun bir saldırı metodolojisini ortaya koymaktadır.

Doğu Avrupa’da Bölgesel Hedefleme Stratejisi Genişliyor

Mevcut faaliyetler öncelikle Ukrayna'daki askeri, savunma ve hükümet kuruluşlarına odaklanmış gibi görünüyor. Bununla birlikte, Ghostwriter'a atfedilen Polonya ve Litvanya'daki operasyonlar, birden fazla kritik sektöre uzanan daha geniş bir hedefleme stratejisini ortaya koymaktadır:

  • Sanayi ve üretim kuruluşları
  • Sağlık ve ilaç kurumları
  • Lojistik sağlayıcıları
  • Devlet kurumları

Ghostwriter'ın araçlarının, dağıtım mekanizmalarının ve operasyonel güvenlik uygulamalarının sürekli evrimi, grubun azmini ve uyum yeteneğini vurgulamaktadır. Özelleştirilmiş yem belgelerini, seçici yük dağıtımını, analiz karşıtı teknikleri ve manuel kurban doğrulamasını birleştirme yeteneği, operasyonel etkiyi en üst düzeye çıkarırken tespit edilmekten kaçınmak için tasarlanmış gelişmiş bir siber casusluk yeteneğini göstermektedir.

trend

E-posta Teslim Edilebilirlik Uyarısı E-posta...

Kimlik avı, İstenmeyen e-posta
Beklenmedik e-postalar, özellikle aciliyet hissi uyandırıyorsa veya hassas bilgiler talep ediyorsa, her zaman dikkatle ele alınmalıdır. Siber suçlular, alıcıları kişisel verilerini ifşa etmeye kandırmak amacıyla, kimlik avı mesajlarını sıklıkla güvenilir hizmet sağlayıcılarından gelen meşru bildirimler gibi gösterirler. "E-posta Teslim Edilebilirlik Uyarısı" e-postaları bu taktiğin açık bir...

En çok görüntülenen

Yükleniyor...