Варіант JavaScript для PicassoLoader
Групу кібератак під назвою Ghostwriter пов'язують з новою хвилею кібератак, спрямованих на урядові організації в Україні. Група, яка діє щонайменше з 2016 року, здобула репутацію завдяки проведенню кібершпигунства та кампаній впливу по всій Східній Європі, зосереджуючись на Україні та сусідніх державах.
Зловмисника також відстежують під кількома псевдонімами, зокрема FrostyNeighbor, PUSHCHA, Storm-0257, TA445, UAC-0057, Umbral Bison, UNC1151 та White Lynx. Протягом багатьох років група постійно вдосконалювала свою інфраструктуру, ланцюжки атак та методи ухилення, щоб обійти засоби контролю безпеки та підтримувати довгострокову операційну ефективність.
Зміст
Постійно розвивається арсенал шкідливого програмного забезпечення
Ghostwriter послідовно модернізував свою екосистему шкідливого програмного забезпечення та методи його доставки. Попередні кампанії значною мірою спиралися на сімейство шкідливих програм PicassoLoader, яке функціонувало як механізм доставки додаткових корисних навантажень, таких як Cobalt Strike Beacon та njRAT.
Наприкінці 2023 року група розширила свої можливості, використавши вразливість WinRAR CVE-2023-38831 для розповсюдження PicassoLoader та Cobalt Strike. Наступного року польські організації стали мішенями фішингової кампанії, яка зловживала вразливістю міжсайтового скриптингу в Roundcube, ідентифікованою як CVE-2024-42009. Шкідлива активність дозволила зловмисникам виконувати JavaScript, здатний збирати облікові дані електронної пошти жертв.
Зламані облікові записи пізніше використовувалися для перевірки вмісту поштових скриньок, крадіжки списків контактів та розповсюдження додаткових фішингових повідомлень протягом червня 2025 року. До кінця 2025 року група також інтегрувала у свої операції передові методи антианалізу. Деякі документи-приманки почали використовувати динамічну перевірку CAPTCHA для вибіркової активації шкідливого ланцюга зараження та зриву автоматизованих середовищ аналізу.
Складні фішингові кампанії спрямовані на Україну
З березня 2026 року дослідники спостерігають нову кампанію, спрямовану проти українських державних установ, через фішингові електронні листи зі шкідливими PDF-файлами. Документи-приманки видають себе за українського телекомунікаційного провайдера «Укртелеком», намагаючись здаватися легітимним та збільшити залученість жертв.
Ланцюг атаки спирається на вбудовані посилання у PDF-файлах, які перенаправляють жертв до шкідливого RAR-архіву, що містить корисне навантаження на основі JavaScript. Після запуску шкідливе програмне забезпечення відображає документ-приманку, щоб зберегти ілюзію легітимності, одночасно непомітно запускаючи JavaScript-варіант PicassoLoader у фоновому режимі. Згодом завантажувач розгортає Cobalt Strike Beacon на уражених системах.
Геозонування та перевірка жертви покращують прихованість
Одним із найпомітніших аспектів останньої кампанії є впровадження геозонування та багаторівневих механізмів перевірки жертв. Системи, що підключаються з IP-адрес за межами України, отримують нешкідливий PDF-контент замість шкідливого корисного навантаження, що значно зменшує вплив дослідників та автоматизованих систем сканування.
Шкідливе програмне забезпечення також виконує ретельну ідентифікацію скомпрометованих хостів, перш ніж доставляти додаткові корисні навантаження. Зібрана системна інформація передається до контрольованої зловмисником інфраструктури кожні десять хвилин, що дозволяє операторам вручну визначати, чи жертва потребує подальшої експлуатації. Тільки після завершення цього процесу перевірки інфраструктура доставляє JavaScript-дроппер третього етапу, відповідальний за встановлення Cobalt Strike Beacon.
Ця операція поєднує автоматизовані методи фільтрації, включаючи перевірку на основі користувацьких агентів та IP-адрес, з ручним переглядом оператором, що підкреслює високодисципліновану та зрілу методологію атаки.
Регіональна стратегія таргетування розширюється по всій Східній Європі
Поточна діяльність, схоже, зосереджена переважно на військових, оборонних та урядових структурах в Україні. Однак операції, що приписуються Ghostwriter у Польщі та Литві, демонструють ширшу стратегію цільової спрямованості, яка охоплює кілька критично важливих секторів:
- Промислові та виробничі організації
- Заклади охорони здоров'я та фармацевтичні установи
- Логістичні постачальники
- Урядові установи
Постійний розвиток інструментарію, механізмів доставки та практик операційної безпеки Ghostwriter підкреслює наполегливість та адаптивність групи. Її здатність поєднувати налаштовані документи-приманки, вибіркову доставку корисного навантаження, методи антианалізу та ручну перевірку жертв демонструє складні можливості кібершпигунства, призначені для уникнення виявлення та одночасного максимізації оперативного впливу.
