周三下午,一名乌克兰政府职员打开了一份看似来自本国电信公司的PDF文件。他的IP地址显示在基辅,于是攻击链条被触发——如果这位职员当时正在国外出差,看到的只会是一份无害的普通文档。这种"看人下菜碟"的攻击手法,来自一个活跃了近十年的老对手。

ESET安全团队最近追踪到,与白俄罗斯情报部门关联的黑客组织Ghostwriter自2026年3月起,对乌克兰政府机构发起新一轮定向攻击。该组织自2016年活跃至今,被业界以多个代号追踪:FrostyNeighbor、PUSHCHA、Storm-0257、TA445、UAC-0057、Umbral Bison、UNC1151及White Lynx。其行动兼具网络间谍与信息战特征,长期以东欧邻国为主要目标。

打开网易新闻 查看精彩图片

此次攻击的技术路径经过精心设计。攻击者先制作伪装成Ukrtelecom(乌克兰电信公司)的PDF诱饵文档,通过鱼叉式钓鱼邮件发送给目标。文档内嵌恶意链接,但关键之处在于一道前置检查:系统会比对受害者的IP地址,仅当定位显示为乌克兰境内时,才会递送真正的恶意载荷。境外访问者则收到一份干净的PDF文件,攻击痕迹因此被大幅掩盖。

通过地理围栏检验后,受害者点击链接会下载一个RAR压缩包,内含JavaScript载荷。该脚本执行双重任务:前台展示诱饵文档维持伪装,后台静默启动PicassoLoader下载器。这一恶意软件家族是Ghostwriter的标志性工具,随后会投放Cobalt Strike渗透测试框架的Beacon组件,为攻击者建立持久化控制通道。

PicassoLoader与Cobalt Strike的组合并非新面孔。ESET指出,该组织此前攻击中已长期使用这一搭配,还曾用于投递njRAT远控木马。2023年底,Ghostwriter被观察到利用WinRAR漏洞(CVE-2023-38831,CVSS评分7.8)部署相同工具链。2024年,波兰实体也曾遭遇其利用Roundcube邮件系统跨站脚本漏洞(CVE-2024-42009,CVSS评分9.3)发起的钓鱼活动,攻击者窃取邮箱凭证后分析通信内容、导出联系人列表,并进一步滥用账户传播更多钓鱼邮件。

该组织的战术演进有迹可循。据波兰国家计算机安全事件响应中心(CERT Polska)2025年6月报告,Ghostwriter在部分案例中利用窃取的凭证深度渗透目标邮箱。2025年底,其开始引入反分析技术:诱饵文档加入动态CAPTCHA验证,只有完成人机识别才会触发后续攻击链条,自动化沙箱分析因此难以完整复现攻击过程。

ESET研究员Damien Schaeffer评价称,FrostyNeighbor展现出"高度的运营成熟度"——多样化诱饵文档、持续迭代的下载器变种、新型投递机制。此次针对乌克兰的地理围栏PDF钓鱼,是其"更新武器库、规避检测以达成渗透目标"的延续。

从技术视角拆解,此次攻击链包含五个关键节点:地理围栏筛选确保攻击精准指向乌克兰境内目标;PDF格式利用政府职员对正式文档的信任惯性;JavaScript载荷规避传统宏文档的安全预警;RAR压缩包增加静态检测难度;PicassoLoader与Cobalt Strike的组合则提供模块化、可扩展的远控能力。每一层都针对企业安全体系的特定环节设计,形成递进式穿透。

值得注意的是攻击者的"本地化"投入。Ukrtelecom作为乌克兰固网通信主导运营商,其品牌标识对政府职员具有天然可信度。攻击者不仅伪造文档视觉风格,还针对目标国家的网络环境定制地理围栏逻辑——这种"一国一策"的精细化运营,反映出国家级威胁行为体与 opportunistic 犯罪分子的本质差异。

防御层面,此次攻击暴露的薄弱环节具有普遍性。PDF作为日常办公高频格式,多数组织未对其嵌入链接实施强制点击前审核;地理围栏技术虽被安全厂商用于威胁情报,但攻击者反向利用该技术进行目标筛选,形成"技术对攻"态势;JavaScript载荷脱离浏览器沙箱直接在系统执行,则依赖终端检测与响应(EDR)产品的行为监控能力。

Ghostwriter的持续活跃也映射出东欧网络冲突的长期化特征。从2016年至今近十年间,该组织工具链历经多轮更替,从早期的简单木马到现今的多阶段载荷、反分析机制,技术迭代从未中断。其攻击目标始终围绕乌克兰、波兰等邻国政府及关键基础设施,与地缘政治张力高度同步。

对于安全运营团队而言,此类攻击的检出难点在于"低音量高精准"——地理围栏筛选大幅缩小了攻击暴露面,传统基于大规模样本分析的威胁情报机制可能延迟发现。针对性的缓解措施包括:对来源不明的PDF文档启用隔离沙箱预览;监控RAR/JS组合文件的终端执行行为;对政府相关品牌标识的钓鱼滥用建立快速响应流程;以及在邮件网关层面对乌克兰等高风险地区来源的附件提升检测优先级。

攻击者正在把"精细化运营"推向新维度。当一份PDF能判断你在哪里、再决定给你看什么,传统的"一刀切"防御策略显然需要重新校准。