PicassoLoader JavaScript 變體
名為「幽靈作家」(Ghostwriter)的威脅組織與近期針對烏克蘭政府機構的新一輪網路攻擊有關。該組織至少從2016年起就十分活躍,以在東歐地區開展網路間諜活動和影響力行動而聞名,其行動重點主要集中在烏克蘭及其鄰國。
該威脅行為者也使用多個別名進行追踪,包括 FrostyNeighbor、PUSHCHA、Storm-0257、TA445、UAC-0057、Umbral Bison、UNC1151 和 White Lynx。多年來,該組織不斷改進其基礎設施、攻擊鍊和規避方法,以繞過安全控制並維持長期的行動效率。
目錄
不斷演變的惡意軟體庫
Ghostwriter 持續對其惡意軟體生態系統和傳播技術進行現代化改造。早期的攻擊活動嚴重依賴 PicassoLoader 惡意軟體家族,該家族作為傳播機制,用於傳播 Cobalt Strike Beacon 和 njRAT 等其他有效載荷。
2023 年末,該組織利用 WinRAR 漏洞 CVE-2023-38831 傳播 PicassoLoader 和 Cobalt Strike,從而擴展了其攻擊能力。隔年,波蘭多家機構成為網路釣魚攻擊的目標,該攻擊利用了 Roundcube 中的一個跨站腳本漏洞 CVE-2024-42009。惡意活動使攻擊者能夠執行 JavaScript 程式碼,從而竊取受害者的電子郵件憑證。
2025年6月,被盜帳戶被用於檢查郵箱內容、竊取聯絡人清單並散佈更多釣魚郵件。到2025年底,該團體已將先進的反分析技術融入其行動中。某些誘餌文件開始使用動態驗證碼(CAPTCHA)來選擇性地啟動惡意感染鏈,從而乾擾自動化分析環境。
針對烏克蘭的精心策劃的網路釣魚攻擊
自2026年3月以來,研究人員發現一種針對烏克蘭政府機構的新攻擊活動,該活動透過帶有惡意PDF附件的魚叉式網路釣魚郵件進行。這些誘餌文件冒充烏克蘭電信業者Ukrtelecom,試圖偽裝成合法機構並提高受害者的參與度。
該攻擊鏈依賴於嵌入在 PDF 文件中的鏈接,這些鏈接會將受害者重定向到一個包含基於 JavaScript 的有效載荷的惡意 RAR 壓縮包。一旦執行,惡意軟體會顯示一個誘餌文件以維持合法性的假象,同時在背景靜默啟動 PicassoLoader 的 JavaScript 版本。該加載器隨後會在受感染的系統上部署 Cobalt Strike Beacon。
地理圍欄和受害者驗證增強隱蔽性
最新攻擊活動最顯著的特點之一是採用了地理圍欄和多層受害者驗證機制。從烏克蘭境外IP位址連接的系統接收到的是無害的PDF內容,而非惡意負荷,從而顯著降低了研究人員和自動掃描系統接觸到惡意程式的風險。
該惡意軟體在投放其他有效載荷之前,還會對受感染主機進行廣泛的指紋識別。收集到的系統資訊每十分鐘傳輸一次到攻擊者控制的基礎設施,使操作者能夠手動判斷受害者是否值得進一步攻擊。只有在完成此驗證程序後,該基礎架構才會投放第三階段的 JavaScript 投放器,該投放器負責安裝 Cobalt Strike Beacon。
該行動結合了自動化過濾方法(包括基於用戶代理和 IP 的驗證)和人工操作員審查,凸顯了高度規範和成熟的攻擊方法。
區域目標戰略擴展至東歐
目前的活動似乎主要集中在烏克蘭的軍事、國防和政府機構。然而,據信由「幽靈作家」在波蘭和立陶宛開展的行動表明,其目標策略更為廣泛,涉及多個關鍵領域:
- 工業和製造組織
- 醫療保健和製藥機構
- 物流供應商
- 政府機構
Ghostwriter 的工具、投放機制和行動安全措施的持續演進,凸顯了組織的持久性和適應力。它能夠將定制的誘餌文件、選擇性的有效載荷投放、反分析技術以及人工受害者驗證相結合,展現出其高超的網絡間諜能力,旨在規避檢測的同時,最大限度地擴大行動影響。
