複数ライセンス割引見積
脅威データベース マルウェア PicassoLoader JavaScript バリアント

PicassoLoader JavaScript バリアント

マルウェア, 高度な持続的脅威 (APT)Mezoまで
翻訳内容:

Ghostwriterとして知られる脅威グループは、ウクライナの政府機関を標的とした新たなサイバー攻撃の波に関与していることが明らかになった。少なくとも2016年から活動しているこのグループは、東ヨーロッパ全域でサイバー諜報活動と影響力工作の両方を実施することで悪名高く、特にウクライナとその近隣諸国に重点を置いて活動している。

この攻撃者は、FrostyNeighbor、PUSHCHA、Storm-0257、TA445、UAC-0057、Umbral Bison、UNC1151、White Lynxなど、複数の別名でも追跡されています。このグループは長年にわたり、セキュリティ対策を回避し、長期的な運用効率を維持するために、インフラストラクチャ、攻撃チェーン、回避手法を継続的に改良してきました。

絶えず進化するマルウェアの武器庫

Ghostwriterは、マルウェアのエコシステムと配信手法を継続的に近代化してきた。初期のキャンペーンでは、PicassoLoaderマルウェアファミリーに大きく依存しており、これはCobalt Strike BeaconやnjRATなどの追加ペイロードの配信メカニズムとして機能していた。

2023年後半、このグループはWinRARの脆弱性CVE-2023-38831を悪用してPicassoLoaderとCobalt Strikeを配布することで、その能力を拡大した。翌年、ポーランドの組織は、Roundcubeのクロスサイトスクリプティングの脆弱性(CVE-2024-42009)を悪用したフィッシング攻撃の標的となった。この悪意のある活動により、攻撃者は被害者からメール認証情報を収集できるJavaScriptを実行できた。

侵害されたアカウントはその後、2025年6月中にメールボックスの内容を調べたり、連絡先リストを盗んだり、追加のフィッシングメッセージを配信したりするために使用されました。2025年末までに、このグループは高度な分析対策技術も運用に組み込んでいました。特定の誘引文書では、動的なCAPTCHA認証を使用して悪意のある感染チェーンを選択的に活性化し、自動分析環境を妨害するようになりました。

高度なスピアフィッシング攻撃がウクライナを標的に

2026年3月以降、研究者らは、悪意のあるPDF添付ファイルを含むスピアフィッシングメールを通じて、ウクライナ政府機関を標的とした新たな攻撃キャンペーンを確認している。これらの偽装文書は、ウクライナの通信事業者であるUkrtelecomを装い、正当な企業であるかのように見せかけ、被害者の関与を促すことを目的としている。

この攻撃は、PDFファイル内に埋め込まれたリンクを利用して、被害者をJavaScriptベースのペイロードを含む悪意のあるRARアーカイブにリダイレクトする仕組みです。マルウェアが実行されると、正規の文書を装うために偽のドキュメントを表示しつつ、バックグラウンドでPicassoLoaderのJavaScript版を密かに起動します。その後、ローダーは侵害されたシステムにCobalt Strike Beaconを展開します。

ジオフェンシングと被害者検証によりステルス性が向上

今回のキャンペーンで最も注目すべき点の1つは、ジオフェンシングと多層的な被害者検証メカニズムの導入です。ウクライナ国外のIPアドレスから接続するシステムは、悪意のあるペイロードではなく無害なPDFコンテンツを受信するため、研究者や自動スキャンシステムへの露出が大幅に軽減されます。

このマルウェアは、追加のペイロードを配信する前に、侵害されたホストの詳細なフィンガープリンティングも実行します。収集されたシステム情報は10分ごとに攻撃者が制御するインフラストラクチャに送信され、オペレーターは被害者がさらなる攻撃に値するかどうかを手動で判断できます。この検証プロセスが完了した後、インフラストラクチャはCobalt Strike Beaconをインストールする第3段階のJavaScriptドロッパーを配信します。

この作戦は、ユーザーエージェントやIPアドレスに基づく検証を含む自動フィルタリング手法と、オペレーターによる手動レビューを組み合わせたものであり、高度に規律づけられた成熟した攻撃手法を際立たせている。

東欧全域に地域ターゲティング戦略を拡大

現在の活動は主にウクライナの軍事、防衛、政府機関を標的としているようだ。しかし、ポーランドとリトアニアでゴーストライターによるものとされる作戦は、複数の重要分野に及ぶより広範な標的戦略を示している。

  • 産業および製造業組織
  • 医療機関および製薬機関
  • 物流業者
  • 政府機関

Ghostwriterのツール、配信メカニズム、および運用上のセキュリティ対策の継続的な進化は、同グループの粘り強さと適応力の高さを物語っている。カスタマイズされたおとり文書、選択的なペイロード配信、分析回避技術、そして手動による被害者検証を組み合わせる能力は、検知を回避しつつ作戦効果を最大化するように設計された、高度なサイバー諜報能力を示している。

トレンド

Isafe-net.com

不正なウェブサイト
デバイスを侵入的で信頼性の低いアプリケーションから保護することは、プライバシー、セキュリティ、およびブラウザの安定したパフォーマンスを維持するために不可欠です。潜在的に不要なプログラム(PUP)、特にブラウザハイジャッカーは、ブラウジング活動を妨害したり、ユーザーを疑わしいコンテンツに晒したり、明確な同意なしに機密情報を収集したりすることがよくあります。そのような疑わしいプラットフォームの一...

メール配信可能性アラート メール詐欺

フィッシング, スパム
予期せぬメールは常に注意深く扱うべきです。特に、緊急性を装ったり、機密情報を要求したりするメールには注意が必要です。サイバー犯罪者は、個人情報をだまし取るために、フィッシングメールを信頼できるサービスプロバイダーからの正規の通知に見せかけることがよくあります。いわゆる「メール配信アラート」メールは、この手口の典型的な例です。これらのメールは、いかなる正規の企業、組織、またはメールサービスプロバイダーとも関連していません。 サイバーセキュリティ研究者らは、「メール配信アラート」メッセージが、メールサービスプロバイダーからの通知を装ったフィッシングメールであることを突き止めた。この詐欺メール...

Dologymant.co.in

不正なウェブサイト, アドウェア, ブラウザハイジャッカー
注意を怠ってインターネットを閲覧すると、ユーザーは様々なサイバー脅威にさらされる可能性があります。悪質なウェブサイトは、訪問者を騙して許可を与えさせたり、悪意のあるコンテンツに接触させたりするために、巧妙な手口を用いることがよくあります。最も一般的な手口としては、信頼できるセキュリティベンダーや正規の認証システムから発信されたように見せかけた偽のCAPTCHA認証や、捏造されたマルウェア警告...

最も見られました

「プリンタドライバが利用できません」エラーを修正する方法

問題
31,258
プリンターは、ユーザーが最も必要としているときにいつでもジョブを実行することを拒否することで有名です。幸いなことに、お使いのプリンターに「プリンター ドライバーは使用できません」というエラーが表示されている場合は、問題を解決できる簡単な解決策がいくつかあります。この特定のエラーは、破損したドライバー ファイル、古いドライバー、またはドライバーの非互換性が原因である可能性があります。 Micr...
画面を共有するとDiscordが黒い画面を表示するスクリーンショット

画面を共有するとDiscordが黒い画面を表示する

問題
27,277
最初に立ち上げられたとき、Discord はゲーム コミュニティ向けの VoIP プラットフォームでした。しかし、その後数年間でその範囲を拡大し、多数の新機能を追加し、最大のソーシャル プラットフォームの 1 つになり、月間アクティブ ユーザー数は 1 億 4000 万人を超えました。現在、ユーザーはプライベート インスタント メッセージを送信したり、VoIP やビデオ通話を開始したり、コン...

Eporner.com

問題
21,107
インターネットは、役立つコンテンツ、エンターテイメント、そして情報で溢れる広大な空間ですが、同時に危険な側面も存在します。番組のストリーミング再生、アプリのダウンロード、アダルトコンテンツプラットフォームの利用など、どんな場面でも常に警戒を怠らないことが重要です。多くのサイト、特に積極的な広告で運営されているサイトは、深刻なセキュリティリスクをもたらす可能性があります。懸念されているサイトの...
読み込んでいます...