Báo giá giảm giá nhiều giấy phép
Cơ sở dữ liệu về mối đe dọa Phần mềm độc hại Biến thể JavaScript của PicassoLoader

Biến thể JavaScript của PicassoLoader

Đến năm Mezo năm Phần mềm độc hại, Mối đe dọa dai dẳng nâng cao (APT)
Dịch sang:

Nhóm tin tặc Ghostwriter được cho là có liên quan đến làn sóng tấn công mạng mới nhắm vào các tổ chức chính phủ ở Ukraine. Hoạt động ít nhất từ năm 2016, nhóm này đã tạo dựng được danh tiếng trong việc tiến hành cả hoạt động gián điệp mạng và các chiến dịch gây ảnh hưởng trên khắp Đông Âu, với trọng tâm hoạt động mạnh mẽ vào Ukraine và các quốc gia lân cận.

Nhóm tin tặc này cũng được theo dõi dưới nhiều bí danh khác nhau, bao gồm FrostyNeighbor, PUSHCHA, Storm-0257, TA445, UAC-0057, Umbral Bison, UNC1151 và White Lynx. Trong những năm qua, nhóm này liên tục tinh chỉnh cơ sở hạ tầng, chuỗi tấn công và phương pháp né tránh nhằm vượt qua các biện pháp kiểm soát an ninh và duy trì hiệu quả hoạt động lâu dài.

Kho vũ khí phần mềm độc hại không ngừng phát triển

Ghostwriter liên tục hiện đại hóa hệ sinh thái phần mềm độc hại và các kỹ thuật phát tán của mình. Các chiến dịch trước đây chủ yếu dựa vào họ phần mềm độc hại PicassoLoader, hoạt động như một cơ chế phát tán cho các phần mềm độc hại bổ sung như Cobalt Strike Beacon và njRAT.

Vào cuối năm 2023, nhóm này đã mở rộng khả năng của mình bằng cách khai thác lỗ hổng WinRAR CVE-2023-38831 để phát tán PicassoLoader và Cobalt Strike. Năm sau, các tổ chức Ba Lan trở thành mục tiêu của một chiến dịch lừa đảo qua email lợi dụng lỗ hổng kịch bản chéo trang (XSS) trong Roundcube được xác định là CVE-2024-42009. Hoạt động độc hại này cho phép kẻ tấn công thực thi mã JavaScript có khả năng thu thập thông tin đăng nhập email từ nạn nhân.

Các tài khoản bị xâm nhập sau đó được sử dụng để kiểm tra nội dung hộp thư, đánh cắp danh sách liên lạc và phát tán thêm các tin nhắn lừa đảo trong tháng 6 năm 2025. Đến cuối năm 2025, nhóm này cũng đã tích hợp các kỹ thuật chống phân tích tiên tiến vào hoạt động của mình. Một số tài liệu mồi nhử bắt đầu sử dụng xác minh CAPTCHA động để kích hoạt có chọn lọc chuỗi lây nhiễm độc hại và làm thất bại các môi trường phân tích tự động.

Các chiến dịch tấn công lừa đảo tinh vi nhắm mục tiêu vào Ukraine

Từ tháng 3 năm 2026, các nhà nghiên cứu đã quan sát thấy một chiến dịch mới nhắm vào các cơ quan chính phủ Ukraine thông qua các email lừa đảo có chứa tệp đính kèm PDF độc hại. Các tài liệu giả mạo này mạo danh nhà cung cấp dịch vụ viễn thông Ukraine Ukrtelecom nhằm mục đích tạo vẻ hợp pháp và tăng sự tương tác của nạn nhân.

Chuỗi tấn công dựa vào các liên kết nhúng trong các tệp PDF, chuyển hướng nạn nhân đến một tệp lưu trữ RAR độc hại chứa mã độc JavaScript. Sau khi được thực thi, phần mềm độc hại sẽ hiển thị một tài liệu giả mạo để duy trì ảo tưởng về tính hợp pháp trong khi âm thầm khởi chạy một biến thể JavaScript của PicassoLoader ở chế độ nền. Sau đó, trình tải này sẽ triển khai Cobalt Strike Beacon trên các hệ thống bị xâm nhập.

Giới hạn khu vực địa lý và xác thực nạn nhân giúp tăng cường khả năng ẩn danh.

Một trong những khía cạnh đáng chú ý nhất của chiến dịch mới nhất là việc triển khai cơ chế khoanh vùng địa lý và xác thực nạn nhân nhiều lớp. Các hệ thống kết nối từ địa chỉ IP bên ngoài Ukraine sẽ nhận được nội dung PDF vô hại thay vì phần mềm độc hại, giúp giảm đáng kể nguy cơ bị các nhà nghiên cứu và hệ thống quét tự động phát hiện.

Phần mềm độc hại này cũng thực hiện việc thu thập dấu vân tay hệ thống một cách kỹ lưỡng đối với các máy chủ bị xâm nhập trước khi phân phối thêm các phần mềm độc hại khác. Thông tin hệ thống thu thập được sẽ được truyền đến cơ sở hạ tầng do kẻ tấn công kiểm soát cứ sau mười phút, cho phép người điều hành tự xác định xem nạn nhân có cần bị khai thác thêm hay không. Chỉ sau khi quá trình xác thực này hoàn tất, cơ sở hạ tầng mới phân phối một trình thả mã JavaScript giai đoạn ba chịu trách nhiệm cài đặt Cobalt Strike Beacon.

Phương thức tấn công này kết hợp các phương pháp lọc tự động, bao gồm xác minh dựa trên user-agent và địa chỉ IP, với việc xem xét thủ công của người vận hành, cho thấy một phương pháp tấn công có tính kỷ luật cao và tinh vi.

Chiến lược nhắm mục tiêu khu vực được mở rộng khắp Đông Âu

Các hoạt động hiện tại dường như tập trung chủ yếu vào các thực thể quân sự, quốc phòng và chính phủ ở Ukraine. Tuy nhiên, các hoạt động được cho là do Ghostwriter thực hiện ở Ba Lan và Lithuania cho thấy một chiến lược nhắm mục tiêu rộng hơn, mở rộng sang nhiều lĩnh vực trọng yếu:

  • Các tổ chức công nghiệp và sản xuất
  • Các cơ sở y tế và dược phẩm
  • Các nhà cung cấp dịch vụ hậu cần
  • Cơ quan chính phủ

Sự phát triển không ngừng của các công cụ, cơ chế phân phối và các biện pháp bảo mật hoạt động của Ghostwriter nhấn mạnh tính bền bỉ và khả năng thích ứng của nhóm. Khả năng kết hợp các tài liệu mồi nhử được tùy chỉnh, phân phối tải trọng có chọn lọc, các kỹ thuật chống phân tích và xác thực nạn nhân thủ công cho thấy năng lực gián điệp mạng tinh vi được thiết kế để tránh bị phát hiện trong khi tối đa hóa tác động hoạt động.

xu hướng

Cảnh báo về khả năng gửi email thành công - Email...

Lừa đảo, Thư rác
Luôn cần thận trọng khi nhận được email bất ngờ, đặc biệt là khi chúng tạo cảm giác khẩn cấp hoặc yêu cầu thông tin nhạy cảm. Tội phạm mạng thường ngụy trang các tin nhắn lừa đảo thành các thông báo hợp lệ từ các nhà cung cấp dịch vụ đáng tin cậy nhằm đánh lừa người nhận tiết lộ dữ liệu cá nhân. Các email có tên gọi "Cảnh báo khả năng gửi email" là một ví dụ điển hình cho thủ đoạn này. Những...

Xem nhiều nhất

Đang tải...