Co znajdziesz w tym artykule?
Wprowadzenie do problemu / definicja
Ukierunkowane kampanie phishingowe pozostają jednym z najskuteczniejszych sposobów uzyskania początkowego dostępu do środowisk administracji publicznej. Najnowsza aktywność przypisywana grupie Ghostwriter pokazuje, że napastnicy nadal łączą socjotechnikę, przejęte konta pocztowe oraz wieloetapowe łańcuchy infekcji, aby uzyskać trwałą obecność w sieciach instytucji państwowych. W opisywanym przypadku celem stały się podmioty rządowe w Ukrainie, a przynętą były wiadomości odnoszące się do platformy edukacyjnej Prometheus.
W skrócie
Kampania obserwowana od wiosny 2026 roku wykorzystywała przejęte konta e-mail do dystrybucji wiadomości phishingowych. Typowy scenariusz obejmował załącznik PDF zawierający odsyłacz do archiwum ZIP z plikiem JavaScript, który po uruchomieniu wyświetlał dokument pozorowany, a równolegle pobierał i uruchamiał kolejne komponenty złośliwego oprogramowania.
- Ataki były wymierzone w ukraińskie instytucje rządowe.
- Przynęta odwoływała się do znanej platformy edukacyjnej Prometheus.
- Łańcuch infekcji obejmował PDF, ZIP i skrypt JavaScript.
- Malware gromadził dane systemowe i komunikował się z serwerem C2.
- Końcowym etapem infekcji miał być implant oparty na Cobalt Strike.
Kontekst / historia
Ghostwriter to nazwa przypisywana działalności aktora zagrożeń kojarzonego z operacjami wymierzonymi w podmioty państwowe, wojskowe i informacyjne w Europie Wschodniej. Grupa od lat łączona jest z kampaniami, które łączą cyberataki, kradzież danych oraz działania wpływu informacyjnego. Jej aktywność regularnie koncentruje się na celach o znaczeniu strategicznym, zwłaszcza tam, gdzie możliwe jest pozyskanie informacji operacyjnych lub wsparcie działań dezinformacyjnych.
W najnowszej odsłonie kampanii przynęty odwoływały się do Prometheus, rozpoznawalnej w Ukrainie platformy edukacyjnej online. Taka tematyka zwiększa wiarygodność wiadomości, szczególnie w środowiskach administracyjnych i instytucjonalnych, gdzie komunikacja dotycząca szkoleń, edukacji i dokumentów roboczych jest codziennością. Dodatkowo wykorzystanie przejętych skrzynek pocztowych podnosi skuteczność ataku, ponieważ wiadomości pochodzą z legalnie wyglądających źródeł.
Analiza techniczna
Schemat infekcji miał charakter wieloetapowy. Wiadomość phishingowa zawierała plik PDF, w którym umieszczono odsyłacz prowadzący do pobrania archiwum ZIP. W archiwum znajdował się plik JavaScript uruchamiany przez mechanizmy systemowe Windows, najpewniej z użyciem Windows Script Host. Taki wektor pozostaje skuteczny, ponieważ skrypty JS mogą działać jako lekki loader i nie wymagają kompilacji do klasycznego pliku wykonywalnego.
Pierwszy komponent, określany jako OYSTERFRESH, pełnił funkcję loadera i elementu maskującego. Po uruchomieniu wyświetlał dokument-wabik, aby utrzymać użytkownika w przekonaniu, że otworzył oczekiwany plik. Równolegle zapisywał do rejestru systemu Windows zaciemniony i zaszyfrowany ładunek nazwany OYSTERBLUES. Przechowywanie części malware w rejestrze utrudnia analizę i może ograniczać widoczność dla narzędzi bezpieczeństwa skupionych głównie na systemie plików.
Kolejny element, OYSTERSHUCK, odpowiadał za dekodowanie ładunku OYSTERBLUES. Po aktywacji malware zbierał informacje rozpoznawcze z hosta, w tym nazwę komputera, nazwę użytkownika, wersję systemu operacyjnego, czas ostatniego uruchomienia systemu oraz listę uruchomionych procesów. Dane te były przesyłane do infrastruktury dowodzenia i kontroli metodą HTTP POST.
Istotnym szczegółem technicznym było oczekiwanie na odpowiedź z serwera C2 zawierającą dalszy kod JavaScript, wykonywany następnie dynamicznie. Taki model daje operatorom dużą elastyczność: mogą dostarczać kolejne funkcje dopiero po rozpoznaniu ofiary, zmieniać ładunki zależnie od wartości celu i minimalizować ekspozycję finalnego narzędzia. Ocenia się, że końcowym etapem był Cobalt Strike, czyli framework często nadużywany przez aktorów zagrożeń do utrzymania dostępu, ruchu bocznego i dalszej eksfiltracji danych.
Konsekwencje / ryzyko
Dla organizacji rządowych ryzyko takiej kampanii jest wysokie z kilku powodów. Po pierwsze, phishing prowadzony z przejętych kont znacząco zwiększa prawdopodobieństwo otwarcia wiadomości i kliknięcia w link. Po drugie, zastosowany łańcuch infekcji umożliwia selektywne wdrażanie kolejnych etapów wyłącznie wobec najbardziej wartościowych ofiar, co utrudnia wykrywanie na podstawie prostych wskaźników kompromitacji.
W praktyce skutki mogą obejmować kradzież danych uwierzytelniających, rozpoznanie środowiska, utrzymanie długotrwałego dostępu do stacji roboczych i sieci wewnętrznych, a następnie ruch boczny do systemów o wyższej wartości. W środowiskach administracji publicznej oznacza to ryzyko wycieku dokumentów, informacji operacyjnych, metadanych komunikacyjnych oraz danych mogących wspierać dalsze operacje wywiadowcze lub wpływu informacyjnego.
Dodatkowym zagrożeniem jest wykorzystanie legalnych mechanizmów systemowych, takich jak interpreter skryptów i rejestr Windows. Tego typu techniki utrudniają analizę incydentu, ponieważ aktywność może przypominać legalne działania administracyjne lub pozostawać ukryta w mniej monitorowanych obszarach systemu.
Rekomendacje
Organizacje powinny w pierwszej kolejności ograniczyć możliwość uruchamiania plików JavaScript i interpretera wscript.exe dla standardowych kont użytkowników, szczególnie na stacjach roboczych, które nie wymagają takiej funkcjonalności biznesowo. Warto również rozważyć blokowanie wykonywania skryptów z katalogów użytkownika oraz stosowanie polityk Application Control, takich jak AppLocker lub Windows Defender Application Control.
Kluczowe znaczenie ma wzmocnienie ochrony poczty elektronicznej. Obejmuje to monitorowanie anomalii logowania do skrzynek, egzekwowanie MFA, analizę reputacji nadawców wewnętrznych, skanowanie załączników PDF i archiwów ZIP oraz sandboxing aktywnej zawartości. Z perspektywy detekcji należy monitorować nietypowe uruchomienia wscript.exe, cscript.exe, mshta.exe i procesów potomnych inicjowanych z klienta pocztowego lub eksploratora po otwarciu archiwum.
- Ograniczyć uruchamianie WSH i skryptów JS dla zwykłych użytkowników.
- Wdrożyć MFA i monitoring przejęć kont pocztowych.
- Analizować archiwa ZIP, pliki PDF i nietypowe procesy potomne.
- Monitorować zmiany w rejestrze inicjowane przez interpretery skryptów.
- Reagować szybko na oznaki kompromitacji i resetować przejęte sesje.
Zespół SOC powinien uwzględnić w regułach detekcyjnych zapis nietypowych danych do rejestru przez interpretery skryptów, komunikację HTTP POST do nieznanych domen po uruchomieniu skryptów oraz sekwencje wskazujące na pobranie kolejnych ładunków z internetu. Istotne jest także rejestrowanie relacji proces rodzic–dziecko, telemetryka PowerShell i WSH oraz inspekcja artefaktów pamięci tam, gdzie istnieje podejrzenie użycia frameworków post-exploitation.
Podsumowanie
Opisana kampania Ghostwriter potwierdza, że zaawansowane operacje przeciwko instytucjom publicznym nadal opierają się na sprawdzonym połączeniu socjotechniki i modularnego malware. Wykorzystanie przejętych kont e-mail, wieloetapowego loadera JavaScript, składowania ładunku w rejestrze oraz wdrożenia narzędzia post-exploitation tworzy łańcuch ataku trudny do szybkiego wykrycia i analizowania.
Dla obrońców najważniejsze wnioski są praktyczne: ograniczać uruchamianie skryptów, wzmacniać kontrolę poczty, monitorować nietypowe użycie rejestru i interpretera WSH oraz szybko reagować na oznaki kompromitacji skrzynek pocztowych. W środowiskach wysokiego ryzyka takie działania powinny być traktowane jako element podstawowej higieny bezpieczeństwa.
Źródła
- The Hacker News — Ghostwriter Targets Ukraine Government Entities with Prometheus Phishing Malware — https://thehackernews.com/2026/05/ghostwriter-targets-ukraine-government.html
- MITRE ATT&CK — Cobalt Strike — https://attack.mitre.org/software/S0154/
- Microsoft Learn — Windows Script Host — https://learn.microsoft.com/en-us/windows-server/administration/windows-commands/wscript