مجموعة Ghostwriter كتستهدف الحكومة الأوكرانية بملفات PDF مقيدة جغرافيا وCobalt Strike

خلاصة: مجموعة Ghostwriter، وهي فاعل تهديد مدعوم من بيلاروسيا وخدام من 2016، بدات حملة جديدة كتستهدف جهات حكومية أوكرانية من مارس 2026 بطعم ديال ملفات PDF مقيدة جغرافيا باش توصل حمولة (payload) ديال PicassoLoader و Cobalt Strike. المجموعة دابا كتستعمل تقنيات ضد التحليل بحال فحوصات CAPTCHA ديناميكية وتصفية الحمولة على حساب عنوان IP. المدافعين خاصهم يراقبو المرفقات الخبيثة ديال PDF، وحمولات (payload) JavaScript فالايميلات، ويفعلو الفلترة اللي كتاخد الموقع الجغرافي بعين الاعتبار.

شنو واقع

من مارس 2026، مجموعة Ghostwriter — اللي متبوعة تحت بزاف ديال التسميات بحال FrostyNeighbor، PUSHCHA، Storm-0257، TA445، UAC-0057، Umbral Bison، UNC1151، و White Lynx — دارت هجمات ديال تصيد (phishing) موجه ضد مؤسسات حكومية فأوكرانيا. هاد الحملة كتستعمل ملفات PDF خبيثة كطعم كتنتحل صفة Ukrtelecom، اللي هي شركة الاتصالات الأوكرانية.

سلسلة الهجوم كتدمج ميكانيزم متطور ديال التقييد الجغرافي (geofencing). ملي الضحية كيكليكي على شي رابط فملف الـ PDF، البنية التحتية ديال المهاجم كتدير فحص أولي للموقع الجغرافي. يلا كان عنوان IP ديال الضحية جاي من برا أوكرانيا، السيرفر كيصيفط ليه ملف PDF عادي ومافيه تا ضرر. أما يلا كان الضحية داخل أوكرانيا، البنية التحتية كتصيفط ليه ملف RAR مضغوط فيه حمولة (payload) ديال JavaScript.

هاد الحمولة (payload) ديال JavaScript عندها جوج أدوار: كتبين ملف مزيف باش تحافظ على خدعة الهندسة الاجتماعية، وفنفس الوقت كتخدم PicassoLoader فالخلفية. هاد PicassoLoader كيبدا يجمع معلومات على الجهاز المخترق (بصمات النظام) وكيصيفط هاد البيانات للبنية التحتية اللي كيتحكم فيها فاعل التهديد كل 10 دقايق. المهاجمين كيراجعو هاد البيانات بشكل يدوي باش يقررو واش يرسلو dropper ديال JavaScript كمرحلة ثالثة اللي كيلونصي Cobalt Strike Beacon.

شركة ESET فصلات هاد النشاط فتقرير تشاركاتو مع The Hacker News، ولاحظات باللي المجموعة باقا كتطور أساليب التهرب ديالها. ومع لخر ديال 2025، بدات Ghostwriter كتدخل فحوصات CAPTCHA ديناميكية فملفات الاستدراج كتقنية ضد التحليل باش تعرقل أنظمة التحليل الآلي وحلول sandbox.

قائمة الضحايا فأوكرانيا كتركز على المنظمات العسكرية، قطاع الدفاع، والجهات الحكومية. وبالمقارنة، الاستهداف ديال المجموعة فبولندا وليتوانيا كيشمل قطاعات واسعة بحال: الصناعة والتصنيع، الرعاية الصحية والأدوية، اللوجستيك، والحكومة.

التاريخ العملياتي ديال Ghostwriter كيتضمن حملات سابقة استغلات ثغرات معروفة. فالاواخر ديال 2023، المجموعة استغلات الثغرة CVE-2023-38831 (ديال WinRAR بـ CVSS 7.8) باش توصل PicassoLoader و Cobalt Strike. وفي 2024، جهات بولندية توصلات بإيميلات تصيد (phishing) كتستغل الثغرة CVE-2024-42009 (ديال Roundcube بـ CVSS 9.3) باش تسرق بيانات اعتماد تسجيل الدخول للإيميلات عبر JavaScript خبيث. هاد بيانات الاعتماد المسروقة تخدمات من بعد باش المهاجمين يحللو محتوى صندوق الرسائل، يسرقو لوائح الاتصال، ويوزعو رسائل تصيد (phishing) خرى، على حساب تقرير CERT Polska فـ يونيو 2025.

علاش هادشي مهم

بالنسبة للمدافعين وفرق SOC فمنطقة الشرق الأوسط وشمال إفريقيا وأوروبا الشرقية، هاد الحملة كتبين التطور الكبير ديال البنية التحتية ديال التصيد (phishing) اللي كترد البال للتقييد الجغرافي. المهاجمين دابا ولاو كيستعملو طبقات ديال تقنيات ضد التحليل — فحص المواقع الجغرافية، حواجز CAPTCHA، وتأكيد يدوي من طرف المشغلين — باش يتفاداو الكشف الآلي وبيئات التحليل بحال sandbox.

استعمال PicassoLoader كمرحلة لجمع البيانات قبل إرسال Cobalt Strike كيمثل منهجية هجوم كتحافظ على الموارد: المهاجمين كييتفاداو يخسرو تراخيص Cobalt Strike الغالية على أهداف ماعندهاش قيمة كبيرة. هاد النشر الانتقائي كيزيد من الاحتمالية ديال أن الأجهزة المخترقة عندها صلاحيات كافية أو مرتبطة بشبكات كتبرر هاد الاستثمار الإضافي بالنسبة ليهم.

بالنسبة للمؤسسات فأوكرانيا، بولندا، ليتوانيا، والمناطق المجاورة، هاد الحملة كتبين باللي كاين استهداف مستمر من طرف فاعل تهديد متمكن بحال شي دولة. التحديثات المستمرة للأدوات وتغيير طرق الإيصال كيبينو النية ديال Ghostwriter باش تحافظ على الوصول العملياتي ديالها واخا الباحثين كيفضحو الأساليب ديالها.

الاستعمال ديال ملفات RAR المضغوطة فحملات متعددة ومؤخرا (النشاط ديال Ghostwriter فمارس 2026، العمليات ديال Gamaredon مابين شتنبر 2025 ودابا، والهجمات ديال BO Team فـ 2026) كيعني باللي أمان وحيل التهرب باستعمال ملفات RAR ولا كيمثل تريند عملياتي جديد عند بزاف ديال فاعلي التهديد.

الأنظمة المتضررة و CVEs

• PicassoLoader (نسخة ديال JavaScript، حملة مارس 2026)
• Cobalt Strike Beacon (عبر النشر ديال PicassoLoader)
• CVE-2023-38831 (ثغرة فـ WinRAR، بـ CVSS 7.8؛ تم الاستغلال ديالها فالاواخر ديال 2023)
• CVE-2024-42009 (ثغرة cross-site فـ Roundcube، بـ CVSS 9.3؛ تم الاستغلال ديالها فـ 2024)
• njRAT (تستعملات سابقا عبر PicassoLoader)

شنو خاصنا نديرو

• راقبو المرفقات ديال PDF اللي كتطلب تفاعل من المستخدم، أولا فيها روابط مدمجة، أو كتبين تصرفات ماشي عادية (بحال طلبات CAPTCHA).
• فعلو فلترة ديال الإيميلات اللي كتاخد الموقع الجغرافي بعين الاعتبار باش تكتشفو وتعزلو حملات التصيد (phishing)؛ وحددو الإيميلات اللي جاية من مصادر خارجية وغادية للجهات الحكومية.
• خدمو حلول اكتشاف واستجابة على مستوى نقط النهاية (EDR) تكون مريكلة باش تكتشف التشغيل ديال PicassoLoader، والبرامج اللي كتيليشارجي الأكواد عبر JavaScript، والاتصالات ديال Cobalt Strike Beacon (callbacks).
• طبقو تحديثات أمنية (ترقيع) لثغرات CVE-2023-38831 (ديال WinRAR) و CVE-2024-42009 (ديال Roundcube) يلا كنتو كتخدمو بهاد البرامج فبيئة العمل ديالكم.
• شقو الشبكة ديالكم (network segmentation) وفعلو فلترة الخروج (egress filtering) باش تحدو من التحركات الجانبية ديال Cobalt Strike والاتصالات بمركز القيادة والتحكم (C2).
• بلوكيو أولا ديرو إنذارات على ملفات RAR المضغوطة اللي كتجي فالايميل، خصوصا اللي فيها حمولة (payload) ديال JavaScript أو ملفات قابلة للتنفيذ.
• راقبو أي نشاط مشبوه كيتعلق بسرقة بيانات اعتماد، أو قواعد توجيه الإيميل، أو استخراج لوائح الاتصال من صناديق البريد المخترقة.
• ديرو تدريب توعوي للمستخدمين كيركز على تقنيات التصيد (phishing) الموجه، وطعوم انتحال صفة Ukrtelecom، والمخاطر ديال فتح الروابط المدمجة فمرفقات PDF اللي ماتوقعوش توصلكم.
• فعلو المصادقة متعددة العوامل (MFA) للإيميل والوصول للـ VPN باش تنقصو من التأثير يلا تسرقات بيانات اعتماد الدخول.
• راقبو الترافيك الخارجي ديال HTTPS وتأكدو واش كاينين اتصالات بالبنية التحتية ديال المهاجمين كل 10 دقايق (وهي المدة الزمنية ديال جمع البيانات اللي تلاحظات فهاد الحملة).

أسئلة باقة مطروحة

• المصدر ما ذكرش العدد ديال الاختراقات الناجحة أو الحدود ديال الأضرار اللي نتجات على الحملة ديال Ghostwriter فمارس 2026.
• التفاصيل التقنية على كيفاش كيطبقو فحوصات CAPTCHA الديناميكية والفعالية ديالها ضد أدوات الكشف الآلي مامذكوراش.
• المنطق المعتمد فالتأكيد من جهة السيرفر اللي كيجمع بين فلترة user agent وعنوان IP ماتفصلش أكثر من الشرح ديال الميكانيزم ديال التقييد الجغرافي.
• مازال ما واضحش واش تقنيات مكافحة التحليل اللي شافوها الباحثين (CAPTCHA، التقييد الجغرافي) تبثات الفعالية ديالها فالتهرب من حلول sandbox ديال شركات الأمن السيبراني أو أنظمة الكشف الآلي على التهديدات.
• المصدر ما أكدش واش استعمال PicassoLoader المبني على JavaScript كيتعتبر تطور جديد بالنسبة للمجموعة ولا ديجا تخدم فحملات سابقة ماتعلنوش.

المصدر

Ghostwriter Targets Ukrainian Government With Geofenced PDF Phishing, Cobalt Strike