Angebot für Mehrfachlizenz-Rabatt
Bedrohungsdatenbank Malware PicassoLoader JavaScript-Variante

PicassoLoader JavaScript-Variante

Von Mezo in Malware, Erweiterte, anhaltende Bedrohung (APT)
Übersetzen Sie in:

Die als Ghostwriter bekannte Bedrohungsgruppe wird mit einer neuen Welle von Cyberangriffen auf Regierungsorganisationen in der Ukraine in Verbindung gebracht. Die Gruppe ist mindestens seit 2016 aktiv und hat sich einen Namen für Cyberspionage und Einflusskampagnen in Osteuropa gemacht, wobei ihr operativer Schwerpunkt auf der Ukraine und ihren Nachbarstaaten liegt.

Der Bedrohungsakteur wird auch unter verschiedenen Pseudonymen verfolgt, darunter FrostyNeighbor, PUSHCHA, Storm-0257, TA445, UAC-0057, Umbral Bison, UNC1151 und White Lynx. Im Laufe der Jahre hat die Gruppe ihre Infrastruktur, Angriffsketten und Umgehungsmethoden kontinuierlich optimiert, um Sicherheitskontrollen zu umgehen und ihre langfristige operative Effektivität aufrechtzuerhalten.

Sich ständig weiterentwickelndes Malware-Arsenal

Ghostwriter hat sein Malware-Ökosystem und seine Verbreitungsmethoden kontinuierlich modernisiert. Frühere Kampagnen stützten sich stark auf die Malware-Familie PicassoLoader, die als Verbreitungsmechanismus für zusätzliche Schadsoftware wie Cobalt Strike Beacon und njRAT diente.

Ende 2023 erweiterte die Gruppe ihre Fähigkeiten, indem sie die WinRAR-Schwachstelle CVE-2023-38831 ausnutzte, um PicassoLoader und Cobalt Strike zu verbreiten. Im darauffolgenden Jahr wurden polnische Organisationen Ziel einer Phishing-Kampagne, die eine Cross-Site-Scripting-Schwachstelle in Roundcube (CVE-2024-42009) ausnutzte. Diese Schadsoftware ermöglichte es Angreifern, JavaScript-Code auszuführen, der E-Mail-Zugangsdaten der Opfer abgreifen konnte.

Kompromittierte Konten wurden später genutzt, um im Juni 2025 E-Mail-Inhalte einzusehen, Kontaktlisten zu stehlen und weitere Phishing-Nachrichten zu versenden. Bis Ende 2025 hatte die Gruppe zudem fortschrittliche Anti-Analyse-Techniken in ihre Operationen integriert. Bestimmte Köderdokumente nutzten dynamische CAPTCHA-Verifizierung, um die schädliche Infektionskette gezielt zu aktivieren und automatisierte Analyseumgebungen zu umgehen.

Raffinierte Spear-Phishing-Kampagnen zielen auf die Ukraine ab

Seit März 2026 beobachten Forscher eine neue Kampagne, die sich über Spear-Phishing-E-Mails mit schädlichen PDF-Anhängen gegen ukrainische Regierungsinstitutionen richtet. Die gefälschten Dokumente geben sich als Dokumente des ukrainischen Telekommunikationsanbieters Ukrtelecom aus, um legitim zu wirken und die Opfer zur Interaktion zu bewegen.

Die Angriffskette nutzt eingebettete Links in PDF-Dateien, die Opfer zu einem schädlichen RAR-Archiv weiterleiten, welches eine JavaScript-basierte Payload enthält. Nach der Ausführung zeigt die Schadsoftware ein gefälschtes Dokument an, um den Anschein von Legitimität zu wahren, während sie im Hintergrund unbemerkt eine JavaScript-Variante von PicassoLoader startet. Dieser Loader installiert anschließend Cobalt Strike Beacon auf kompromittierten Systemen.

Geofencing und Opfervalidierung verbessern die Tarnung

Einer der bemerkenswertesten Aspekte der jüngsten Kampagne ist der Einsatz von Geofencing und mehrstufigen Mechanismen zur Opfervalidierung. Systeme, die sich von IP-Adressen außerhalb der Ukraine verbinden, erhalten harmlose PDF-Inhalte anstelle der Schadsoftware, wodurch das Risiko für Forscher und automatisierte Scansysteme deutlich reduziert wird.

Die Malware führt zudem ein umfassendes Fingerprinting kompromittierter Hosts durch, bevor sie weitere Schadsoftware ausliefert. Die gesammelten Systeminformationen werden alle zehn Minuten an die vom Angreifer kontrollierte Infrastruktur übermittelt, sodass die Betreiber manuell entscheiden können, ob ein Opfer für weitere Angriffe geeignet ist. Erst nach Abschluss dieses Validierungsprozesses liefert die Infrastruktur einen JavaScript-Dropper der dritten Stufe aus, der für die Installation von Cobalt Strike Beacon verantwortlich ist.

Die Operation kombiniert automatisierte Filtermethoden, einschließlich der Überprüfung anhand von Benutzeragenten und IP-Adressen, mit einer manuellen Überprüfung durch einen Bediener und unterstreicht damit eine hochdisziplinierte und ausgereifte Angriffsmethodik.

Regionale Targeting-Strategie wird auf Osteuropa ausgeweitet

Die aktuellen Aktivitäten scheinen sich primär auf militärische, verteidigungspolitische und staatliche Einrichtungen in der Ukraine zu konzentrieren. Operationen, die Ghostwriter in Polen und Litauen zugeschrieben werden, deuten jedoch auf eine breiter gefasste Zielstrategie hin, die sich auf mehrere kritische Sektoren erstreckt:

  • Industrie- und Produktionsorganisationen
  • Institutionen des Gesundheitswesens und der Pharmaindustrie
  • Logistikdienstleister
  • Regierungsbehörden

Die kontinuierliche Weiterentwicklung der Tools, Übertragungsmechanismen und Sicherheitsvorkehrungen von Ghostwriter unterstreicht die Beharrlichkeit und Anpassungsfähigkeit der Gruppe. Ihre Fähigkeit, individuell angepasste Köderdokumente, selektive Nutzlastübertragung, Anti-Analyse-Techniken und manuelle Opfervalidierung zu kombinieren, beweist eine hochentwickelte Cyber-Spionagefähigkeit, die darauf ausgelegt ist, unentdeckt zu bleiben und gleichzeitig maximale operative Wirkung zu erzielen.

Im Trend

Am häufigsten gesehen

Wird geladen...