周三下午，一名烏克蘭政府職員打開了一份看似來自本國電信公司的PDF文件。他的IP地址顯示在基輔，于是攻擊鏈條被觸發(fā)——如果這位職員當(dāng)時(shí)正在國外出差，看到的只會是一份無害的普通文檔。這種"看人下菜碟"的攻擊手法，來自一個活躍了近十年的老對手。

ESET安全團(tuán)隊(duì)最近追蹤到，與白俄羅斯情報(bào)部門關(guān)聯(lián)的黑客組織Ghostwriter自2026年3月起，對烏克蘭政府機(jī)構(gòu)發(fā)起新一輪定向攻擊。該組織自2016年活躍至今，被業(yè)界以多個代號追蹤：FrostyNeighbor、PUSHCHA、Storm-0257、TA445、UAC-0057、Umbral Bison、UNC1151及White Lynx。其行動兼具網(wǎng)絡(luò)間諜與信息戰(zhàn)特征，長期以東歐鄰國為主要目標(biāo)。

此次攻擊的技術(shù)路徑經(jīng)過精心設(shè)計(jì)。攻擊者先制作偽裝成Ukrtelecom（烏克蘭電信公司）的PDF誘餌文檔，通過魚叉式釣魚郵件發(fā)送給目標(biāo)。文檔內(nèi)嵌惡意鏈接，但關(guān)鍵之處在于一道前置檢查：系統(tǒng)會比對受害者的IP地址，僅當(dāng)定位顯示為烏克蘭境內(nèi)時(shí)，才會遞送真正的惡意載荷。境外訪問者則收到一份干凈的PDF文件，攻擊痕跡因此被大幅掩蓋。

通過地理圍欄檢驗(yàn)后，受害者點(diǎn)擊鏈接會下載一個RAR壓縮包，內(nèi)含JavaScript載荷。該腳本執(zhí)行雙重任務(wù)：前臺展示誘餌文檔維持偽裝，后臺靜默啟動PicassoLoader下載器。這一惡意軟件家族是Ghostwriter的標(biāo)志性工具，隨后會投放Cobalt Strike滲透測試框架的Beacon組件，為攻擊者建立持久化控制通道。

PicassoLoader與Cobalt Strike的組合并非新面孔。ESET指出，該組織此前攻擊中已長期使用這一搭配，還曾用于投遞njRAT遠(yuǎn)控木馬。2023年底，Ghostwriter被觀察到利用WinRAR漏洞（CVE-2023-38831，CVSS評分7.8）部署相同工具鏈。2024年，波蘭實(shí)體也曾遭遇其利用Roundcube郵件系統(tǒng)跨站腳本漏洞（CVE-2024-42009，CVSS評分9.3）發(fā)起的釣魚活動，攻擊者竊取郵箱憑證后分析通信內(nèi)容、導(dǎo)出聯(lián)系人列表，并進(jìn)一步濫用賬戶傳播更多釣魚郵件。

該組織的戰(zhàn)術(shù)演進(jìn)有跡可循。據(jù)波蘭國家計(jì)算機(jī)安全事件響應(yīng)中心（CERT Polska）2025年6月報(bào)告，Ghostwriter在部分案例中利用竊取的憑證深度滲透目標(biāo)郵箱。2025年底，其開始引入反分析技術(shù)：誘餌文檔加入動態(tài)CAPTCHA驗(yàn)證，只有完成人機(jī)識別才會觸發(fā)后續(xù)攻擊鏈條，自動化沙箱分析因此難以完整復(fù)現(xiàn)攻擊過程。

ESET研究員Damien Schaeffer評價(jià)稱，F(xiàn)rostyNeighbor展現(xiàn)出"高度的運(yùn)營成熟度"——多樣化誘餌文檔、持續(xù)迭代的下載器變種、新型投遞機(jī)制。此次針對烏克蘭的地理圍欄PDF釣魚，是其"更新武器庫、規(guī)避檢測以達(dá)成滲透目標(biāo)"的延續(xù)。

從技術(shù)視角拆解，此次攻擊鏈包含五個關(guān)鍵節(jié)點(diǎn)：地理圍欄篩選確保攻擊精準(zhǔn)指向?yàn)蹩颂m境內(nèi)目標(biāo)；PDF格式利用政府職員對正式文檔的信任慣性；JavaScript載荷規(guī)避傳統(tǒng)宏文檔的安全預(yù)警；RAR壓縮包增加靜態(tài)檢測難度；PicassoLoader與Cobalt Strike的組合則提供模塊化、可擴(kuò)展的遠(yuǎn)控能力。每一層都針對企業(yè)安全體系的特定環(huán)節(jié)設(shè)計(jì)，形成遞進(jìn)式穿透。

值得注意的是攻擊者的"本地化"投入。Ukrtelecom作為烏克蘭固網(wǎng)通信主導(dǎo)運(yùn)營商，其品牌標(biāo)識對政府職員具有天然可信度。攻擊者不僅偽造文檔視覺風(fēng)格，還針對目標(biāo)國家的網(wǎng)絡(luò)環(huán)境定制地理圍欄邏輯——這種"一國一策"的精細(xì)化運(yùn)營，反映出國家級威脅行為體與 opportunistic 犯罪分子的本質(zhì)差異。

防御層面，此次攻擊暴露的薄弱環(huán)節(jié)具有普遍性。PDF作為日常辦公高頻格式，多數(shù)組織未對其嵌入鏈接實(shí)施強(qiáng)制點(diǎn)擊前審核；地理圍欄技術(shù)雖被安全廠商用于威脅情報(bào)，但攻擊者反向利用該技術(shù)進(jìn)行目標(biāo)篩選，形成"技術(shù)對攻"態(tài)勢；JavaScript載荷脫離瀏覽器沙箱直接在系統(tǒng)執(zhí)行，則依賴終端檢測與響應(yīng)（EDR）產(chǎn)品的行為監(jiān)控能力。

Ghostwriter的持續(xù)活躍也映射出東歐網(wǎng)絡(luò)沖突的長期化特征。從2016年至今近十年間，該組織工具鏈歷經(jīng)多輪更替，從早期的簡單木馬到現(xiàn)今的多階段載荷、反分析機(jī)制，技術(shù)迭代從未中斷。其攻擊目標(biāo)始終圍繞烏克蘭、波蘭等鄰國政府及關(guān)鍵基礎(chǔ)設(shè)施，與地緣政治張力高度同步。

對于安全運(yùn)營團(tuán)隊(duì)而言，此類攻擊的檢出難點(diǎn)在于"低音量高精準(zhǔn)"——地理圍欄篩選大幅縮小了攻擊暴露面，傳統(tǒng)基于大規(guī)模樣本分析的威脅情報(bào)機(jī)制可能延遲發(fā)現(xiàn)。針對性的緩解措施包括：對來源不明的PDF文檔啟用隔離沙箱預(yù)覽；監(jiān)控RAR/JS組合文件的終端執(zhí)行行為；對政府相關(guān)品牌標(biāo)識的釣魚濫用建立快速響應(yīng)流程；以及在郵件網(wǎng)關(guān)層面對烏克蘭等高風(fēng)險(xiǎn)地區(qū)來源的附件提升檢測優(yōu)先級。

攻擊者正在把"精細(xì)化運(yùn)營"推向新維度。當(dāng)一份PDF能判斷你在哪里、再決定給你看什么，傳統(tǒng)的"一刀切"防御策略顯然需要重新校準(zhǔn)。