Ghostwriter ponownie atakuje ukraińskie instytucje rządowe: spear phishing, geofencing i Cobalt Strike w nowej kampanii - Security Bez Tabu

Ghostwriter ponownie atakuje ukraińskie instytucje rządowe: spear phishing, geofencing i Cobalt Strike w nowej kampanii

Cybersecurity news

Wprowadzenie do problemu / definicja

Grupa APT Ghostwriter, znana również jako FrostyNeighbor, wznowiła działania wymierzone w ukraińskie instytucje rządowe. Najnowsza kampania pokazuje wysoki poziom dojrzałości operacyjnej: atakujący łączą spear phishing, geofencing, wieloetapowy łańcuch infekcji oraz ręczną selekcję ofiar przed dostarczeniem końcowego ładunku.

To schemat charakterystyczny dla operacji cyberwywiadowczych, w których celem nie jest masowa skala, lecz skuteczna infiltracja starannie wybranych podmiotów. W praktyce oznacza to większą trudność wykrycia oraz wyższe ryzyko dla administracji publicznej i organizacji o znaczeniu strategicznym.

W skrócie

  • Od marca 2026 roku obserwowana jest nowa kampania Ghostwriter przeciwko ukraińskim instytucjom publicznym.
  • Atak rozpoczyna się od wiadomości phishingowej z plikiem PDF podszywającym się pod oficjalną komunikację operatora telekomunikacyjnego.
  • Mechanizm dostarczania ładunku zależy od lokalizacji ofiary i wykorzystuje geofencing.
  • Użytkownicy spoza Ukrainy otrzymują nieszkodliwy dokument-wabik, a cele z ukraińskiej przestrzeni adresowej archiwum RAR z kodem JavaScript.
  • Skrypt uruchamia downloader PicassoLoader, który profiluje system i przesyła dane do infrastruktury C2.
  • Tylko wybranym ofiarom dostarczany jest beacon Cobalt Strike, co wskazuje na ręczną ocenę wartości celu.

Kontekst / historia

Ghostwriter to długo aktywny podmiot powiązywany z operacjami ukierunkowanymi na Europę Wschodnią. W publicznych analizach grupa była łączona zarówno z kampaniami dezinformacyjnymi, jak i klasycznymi działaniami cybernetycznymi obejmującymi kradzież danych, przejęcia kont oraz wdrażanie narzędzi post-exploitation.

W raportach badawczych funkcjonuje pod kilkoma nazwami, między innymi Ghostwriter, FrostyNeighbor, UNC1151 oraz UAC-0057. Z perspektywy operacyjnej jej aktywność od lat koncentruje się na państwach sąsiadujących z Białorusią oraz na organizacjach o znaczeniu politycznym, administracyjnym, wojskowym i infrastrukturalnym.

Najnowsza kampania wpisuje się w tę samą linię rozwojową. Narzędzia są rozwijane i modyfikowane, ale podstawowy model działania pozostaje niezmienny: precyzyjne szpiegostwo, ograniczona ekspozycja infrastruktury i selektywne rozwijanie infekcji wyłącznie tam, gdzie cel rokuje wysoką wartość operacyjną.

Analiza techniczna

Łańcuch infekcji rozpoczyna się od wiadomości spear phishingowej zawierającej plik PDF udający oficjalny dokument. W treści wabika znajduje się przycisk pobrania, który kieruje użytkownika do serwera kontrolowanego przez atakujących. Już na tym etapie aktywowany jest mechanizm filtrowania ofiar.

Jeżeli połączenie nie pochodzi z ukraińskiego adresu IP, serwer zwraca nieszkodliwy plik PDF związany z regulacjami w obszarze komunikacji elektronicznej. To skuteczna technika antyanalityczna, ponieważ badacz lub sandbox działający poza docelową geografią może otrzymać wyłącznie legalnie wyglądający materiał i błędnie uznać próbkę za niegroźną.

W przypadku ofiar z ukraińskiej przestrzeni adresowej serwer dostarcza archiwum RAR zawierające plik JavaScript. Skrypt realizuje dwa zadania równolegle: otwiera dokument-wabik w celu utrzymania pozorów legalnej aktywności oraz uruchamia kolejną fazę infekcji w postaci downloadera PicassoLoader.

PicassoLoader zbiera informacje o systemie ofiary, takie jak nazwa użytkownika, nazwa komputera, wersja systemu operacyjnego, czas uruchomienia hosta oraz lista aktywnych procesów. Dane te są okresowo wysyłane do infrastruktury dowodzenia i kontroli metodą HTTP POST. Jest to klasyczny etap fingerprintingu hosta, który pozwala operatorom ocenić przydatność zainfekowanego systemu.

Istotną cechą tej kampanii jest brak pełnej automatyzacji. Zebrana telemetria jest najprawdopodobniej oceniana ręcznie, a dopiero potem podejmowana jest decyzja o dostarczeniu kolejnego etapu. Jeśli ofiara zostanie uznana za wartościową, serwer zwraca następny skrypt JavaScript odpowiedzialny za wdrożenie beacona Cobalt Strike.

Na trzecim etapie stosowane są dodatkowe techniki maskowania. Skrypt kopiuje legalny plik rundll32.exe pod nową nazwą ViberPC.exe, co może utrudniać wykrywanie oparte na prostych regułach i sygnaturach zachowań. Następnie zapisywana jest biblioteka DLL z beaconem Cobalt Strike, a trwałość uzyskiwana jest przez wpis Run w rejestrze użytkownika oraz skrót uruchamiający zmodyfikowany łańcuch wykonania.

Takie podejście umożliwia atakującym dalsze działania post-exploitation, w tym zdalne wykonywanie poleceń, ruch boczny, kradzież poświadczeń oraz eksfiltrację danych. Dodatkowym utrudnieniem dla obrońców jest ukrywanie komunikacji i artefaktów z użyciem domen o niskiej reputacji, usług pośredniczących oraz odpowiedzi podszywających się pod nieszkodliwe typy plików, takie jak obrazy JPG.

Konsekwencje / ryzyko

Kampania stanowi poważne zagrożenie dla administracji publicznej, sektora obronnego oraz organizacji realizujących funkcje strategiczne. Ryzyko nie ogranicza się do pojedynczej stacji roboczej. Obecność Cobalt Strike na komputerze urzędnika może otworzyć drogę do dalszej penetracji środowiska, przejęcia poświadczeń, dostępu do poczty, systemów obiegu dokumentów i sieci wewnętrznej.

Szczególnie niebezpieczny jest model selektywnego dostarczania ładunku. Ogranicza on liczbę artefaktów dostępnych dla analityków i zmniejsza szansę wczesnego wykrycia kampanii. Geofencing oraz ręczna walidacja ofiary znacząco utrudniają skuteczność klasycznych sandboxów i zautomatyzowanych systemów analitycznych.

Dodatkowym czynnikiem ryzyka jest wykorzystanie JavaScript jako nośnika kolejnych etapów infekcji. W części środowisk pliki skryptowe nadal nie są traktowane z taką samą ostrożnością jak klasyczne pliki wykonywalne, mimo że mogą pełnić rolę droppera, downloadera i loadera dla dalszego malware.

Rekomendacje

Organizacje publiczne i podmioty o znaczeniu krytycznym powinny wdrożyć wielowarstwowe środki obronne dostosowane do tego typu zagrożeń. Kluczowe znaczenie ma zarówno prewencja, jak i zdolność szybkiego wykrywania nietypowych zachowań na stacjach roboczych i w ruchu sieciowym.

  • Wzmocnić ochronę poczty elektronicznej i kontrolę załączników, zwłaszcza plików PDF z odnośnikami, archiwów RAR oraz plików JavaScript.
  • Ograniczyć lub blokować uruchamianie skryptów z katalogów użytkownika oraz monitorować interpretery skryptowe.
  • Wykrywać nietypowe użycie procesów systemowych, w tym kopiowanie rundll32.exe pod alternatywnymi nazwami.
  • Monitorować tworzenie wpisów trwałości w kluczach Run oraz podejrzane artefakty w katalogach AppData i ProgramData.
  • Rozwijać detekcję behawioralną opartą na korelacji zdarzeń, a nie wyłącznie na sygnaturach plików.
  • Uwzględnić ograniczenia sandboxów i uzupełniać analizę o telemetrykę endpointów, threat intelligence oraz analizę ruchu z rzeczywistych środowisk.
  • Regularnie aktualizować procedury reagowania na incydenty pod kątem działań APT, w tym izolację stacji, reset poświadczeń i polowanie na wskaźniki kompromitacji.

Podsumowanie

Najnowsza kampania Ghostwriter potwierdza, że dojrzałe grupy APT nie potrzebują głośnych podatności zero-day, aby skutecznie penetrować środowiska wysokiej wartości. Wystarczą dobrze przygotowany spear phishing, geograficzne filtrowanie ofiar, wieloetapowy loader i ręczna decyzja operatora o rozwinięciu ataku.

Dla obrońców najważniejsze jest zrozumienie całego łańcucha infekcji, a nie tylko pojedynczego pliku lub domeny. To operacja zaprojektowana tak, by omijać automatyczną analizę i minimalizować ekspozycję infrastruktury atakujących. W praktyce oznacza to konieczność łączenia ochrony poczty, monitoringu endpointów, analizy behawioralnej i bieżącego threat intelligence.

Źródła

  1. Security Affairs — Ghostwriter group resumes attacks on Ukrainian Government targets — https://securityaffairs.com/192196/apt/ghostwriter-group-resumes-attacks-on-ukrainian-government-targets.html
  2. ESET WeLiveSecurity — FrostyNeighbor: Fresh mischief and digital shenanigans — https://www.welivesecurity.com/en/eset-research/frostyneighbor-fresh-mischief-digital-shenanigans/
  3. CERT-UA — Public reporting on UAC-0057 / Ghostwriter activity — https://cert.gov.ua/
  4. Mandiant — Reporting on Ghostwriter / UNC1151 activity — https://www.mandiant.com/
  5. CISA — Cobalt Strike overview and defensive context — https://www.cisa.gov/