Ghostwriter atakuje ukraińskie instytucje rządowe. Geofencing w PDF-ach i PicassoLoader utrudniają wykrycie - Security Bez Tabu

Ghostwriter atakuje ukraińskie instytucje rządowe. Geofencing w PDF-ach i PicassoLoader utrudniają wykrycie

Cybersecurity news

Wprowadzenie do problemu / definicja

Grupa Ghostwriter, znana z operacji cyberwywiadowczych i kampanii wymierzonych w podmioty Europy Wschodniej, została powiązana z nową falą ataków skierowanych przeciwko ukraińskim instytucjom rządowym. W tej kampanii napastnicy wykorzystują spear-phishing, spreparowane dokumenty PDF, mechanizmy geofencingu oraz wieloetapowy łańcuch infekcji prowadzący do wdrożenia narzędzi używanych w działaniach poeksploatacyjnych.

To przykład dojrzałej operacji ukierunkowanej, w której celem nie jest masowe zainfekowanie jak największej liczby systemów, lecz selekcja wartościowych ofiar i dostarczanie pełnego ładunku wyłącznie do tych środowisk, które przejdą pozytywną weryfikację.

W skrócie

Kampania obserwowana od marca 2026 roku koncentruje się na ukraińskich organizacjach rządowych. Atak rozpoczyna się od wiadomości phishingowej z załączonym plikiem PDF, który zawiera odnośnik prowadzący do zewnętrznego zasobu.

  • użytkownicy spoza wskazanego obszaru geograficznego otrzymują nieszkodliwy plik,
  • ofiary spełniające kryteria pobierają archiwum RAR ze skryptem JavaScript,
  • w tle uruchamiany jest PicassoLoader odpowiedzialny za profilowanie hosta,
  • po walidacji celu możliwe jest dostarczenie kolejnego etapu z wdrożeniem Cobalt Strike Beacon.

Taki model utrudnia analizę próbek, ogranicza ekspozycję infrastruktury atakującego i zwiększa szanse na skuteczne utrzymanie się w środowisku ofiary.

Kontekst / historia

Ghostwriter jest kojarzony z aktywnością wymierzoną przede wszystkim w Ukrainę oraz kraje regionu Europy Wschodniej. Wcześniejsze operacje tej grupy obejmowały zarówno działania phishingowe nastawione na przejmowanie poświadczeń, jak i kampanie wykorzystujące złośliwe oprogramowanie do budowy trwałego dostępu do zaatakowanych systemów.

W analizach wcześniejszych incydentów pojawiał się już PicassoLoader, czyli malware pełniący rolę pośredniego elementu w łańcuchu infekcji. Narzędzie to było wykorzystywane do zbierania informacji o stacji roboczej, komunikacji z infrastrukturą dowodzenia oraz uruchamiania kolejnych modułów. Obecna kampania pokazuje, że operator nadal rozwija swoje techniki, łącząc socjotechnikę z mechanizmami ograniczającymi możliwość szybkiej detekcji.

Analiza techniczna

Łańcuch ataku rozpoczyna się od wiadomości spear-phishingowej zawierającej dokument PDF podszywający się pod legalny materiał. Sam plik pełni funkcję wabika, ale zasadniczy mechanizm infekcji uruchamiany jest po kliknięciu osadzonego odnośnika.

Serwer kontrolowany przez napastników wykonuje geofencing, czyli sprawdza geolokalizację ofiary na podstawie adresu IP. Jeżeli odbiorca znajduje się poza zakładanym obszarem, system zwraca nieszkodliwy dokument PDF. Dzięki temu badacze, sandboxy i przypadkowi użytkownicy często nie widzą właściwego ładunku, co znacząco utrudnia analizę kampanii.

Jeśli ofiara spełnia wymagania operatora, pobierane jest archiwum RAR zawierające komponent JavaScript. Po jego uruchomieniu użytkownik widzi dokument-wabik, a w tle aktywowany zostaje PicassoLoader w wersji skryptowej. Loader odpowiada za zbieranie informacji o systemie i komunikację z infrastrukturą atakującego.

  • profiluje środowisko pracy ofiary,
  • gromadzi dane identyfikujące host i jego konfigurację,
  • nawiązuje komunikację z serwerem C2,
  • umożliwia selektywne dostarczenie kolejnych etapów ataku.

Kluczową cechą tej kampanii jest brak automatycznego wdrażania pełnego ładunku do każdego celu. Zebrane informacje są wykorzystywane do oceny wartości ofiary. Dopiero po pozytywnej walidacji może zostać dostarczony następny komponent, czyli dropper wdrażający Cobalt Strike Beacon. Taki schemat wskazuje na ręcznie sterowaną operację, której celem jest precyzyjna kompromitacja wybranych środowisk.

Z technicznego punktu widzenia kampania łączy kilka warstw utrudniających detekcję:

  • geofencing po stronie serwera,
  • podstawianie nieszkodliwej treści niepożądanym odbiorcom,
  • wielostopniowe dostarczanie ładunku,
  • ręczną walidację ofiary,
  • użycie wiarygodnych dokumentów-wabików.

Konsekwencje / ryzyko

Najpoważniejsze ryzyko dotyczy instytucji rządowych, sektora obronnego oraz organizacji przetwarzających informacje wrażliwe. Wdrożenie Cobalt Strike na stacji roboczej może otworzyć drogę do dalszych działań poeksploatacyjnych, takich jak rekonesans wewnętrzny, utrzymywanie dostępu, przemieszczanie boczne czy eksfiltracja danych.

Niebezpieczny jest również sam sposób prowadzenia kampanii. Użytkownik otrzymuje wiarygodny dokument, który nie musi wzbudzać podejrzeń. Jednocześnie klasyczne systemy analizy próbek mogą nie zobaczyć złośliwego łańcucha, jeśli testy są prowadzone z niewłaściwej lokalizacji lub w środowisku niespełniającym kryteriów napastnika.

Dla zespołów bezpieczeństwa oznacza to ryzyko przeoczenia incydentu na bardzo wczesnym etapie. Gdy host zostanie zakwalifikowany jako wartościowy, organizacja może mieć do czynienia z przeciwnikiem prowadzącym aktywną, ręcznie nadzorowaną operację, a nie z prostą kampanią masowego malware.

Rekomendacje

Organizacje narażone na podobne kampanie powinny wdrożyć podejście wielowarstwowe, obejmujące zarówno ochronę poczty, jak i kontrolę zachowań na stacjach roboczych.

  • blokować uruchamianie nieautoryzowanych skryptów JavaScript i VBScript, zwłaszcza z katalogów tymczasowych, archiwów i przestrzeni użytkownika,
  • analizować pliki PDF zawierające zewnętrzne odnośniki oraz archiwa pobierane po ich otwarciu,
  • monitorować sekwencje zdarzeń łączące otwarcie dokumentu, pobranie archiwum, start interpretera skryptowego i komunikację sieciową,
  • wdrożyć detekcję beaconingu oraz nietypowych połączeń wychodzących do infrastruktury zewnętrznej,
  • stosować application control, segmentację sieci i ograniczanie uprawnień lokalnych użytkowników,
  • szkolić personel wysokiego ryzyka w rozpoznawaniu dokumentów-wabików i ukierunkowanego spear-phishingu,
  • prowadzić threat hunting pod kątem artefaktów związanych z PicassoLoaderem, Cobalt Strike oraz uruchamianiem wscript.exe i cscript.exe,
  • objąć szczególną ochroną stacje używane do obsługi poczty urzędowej i systemów administracyjnych.

Podsumowanie

Najnowsza kampania przypisywana Ghostwriter pokazuje, że współczesne operacje phishingowe coraz częściej wykorzystują selektywne dostarczanie malware, geofencing i ręczną ocenę celu. Takie podejście zwiększa skuteczność ataku, ogranicza ślady pozostawiane w analizie automatycznej i utrudnia pracę zespołów obronnych.

Z perspektywy obrońców kluczowe znaczenie ma korelacja telemetrii, kontrola uruchamiania skryptów, analiza zachowań po otwarciu dokumentów oraz szybkie wykrywanie komunikacji charakterystycznej dla infrastruktury C2. To właśnie na tych etapach można najskuteczniej przerwać łańcuch infekcji, zanim dojdzie do pełnej kompromitacji środowiska.

Źródła

  1. The Hacker News — https://thehackernews.com/2026/05/ghostwriter-targets-ukrainian.html
  2. ESET / WeLiveSecurity — https://www.welivesecurity.com/
  3. CERT Polska — https://cert.pl/