白俄黑客組織Ghostwriter盯上烏克蘭政府：PDF釣魚+地理圍欄精準攻擊

周三下午，一名烏克蘭政府職員打開了一份看似來自本國電信公司的PDF文件。他的IP地址顯示在基輔，于是攻擊鏈條被觸發——如果這位職員當時正在國外出差，看到的只會是一份無害的普通文檔。這種"看人下菜碟"的攻擊手法，來自一個活躍了近十年的老對手。

ESET安全團隊最近追蹤到，與白俄羅斯情報部門關聯的黑客組織Ghostwriter自2026年3月起，對烏克蘭政府機構發起新一輪定向攻擊。該組織自2016年活躍至今，被業界以多個代號追蹤：FrostyNeighbor、PUSHCHA、Storm-0257、TA445、UAC-0057、Umbral Bison、UNC1151及White Lynx。其行動兼具網絡間諜與信息戰特征，長期以東歐鄰國為主要目標。

此次攻擊的技術路徑經過精心設計。攻擊者先制作偽裝成Ukrtelecom（烏克蘭電信公司）的PDF誘餌文檔，通過魚叉式釣魚郵件發送給目標。文檔內嵌惡意鏈接，但關鍵之處在于一道前置檢查：系統會比對受害者的IP地址，僅當定位顯示為烏克蘭境內時，才會遞送真正的惡意載荷。境外訪問者則收到一份干凈的PDF文件，攻擊痕跡因此被大幅掩蓋。

通過地理圍欄檢驗后，受害者點擊鏈接會下載一個RAR壓縮包，內含JavaScript載荷。該腳本執行雙重任務：前臺展示誘餌文檔維持偽裝，后臺靜默啟動PicassoLoader下載器。這一惡意軟件家族是Ghostwriter的標志性工具，隨后會投放Cobalt Strike滲透測試框架的Beacon組件，為攻擊者建立持久化控制通道。

PicassoLoader與Cobalt Strike的組合并非新面孔。ESET指出，該組織此前攻擊中已長期使用這一搭配，還曾用于投遞njRAT遠控木馬。2023年底，Ghostwriter被觀察到利用WinRAR漏洞（CVE-2023-38831，CVSS評分7.8）部署相同工具鏈。2024年，波蘭實體也曾遭遇其利用Roundcube郵件系統跨站腳本漏洞（CVE-2024-42009，CVSS評分9.3）發起的釣魚活動，攻擊者竊取郵箱憑證后分析通信內容、導出聯系人列表，并進一步濫用賬戶傳播更多釣魚郵件。

該組織的戰術演進有跡可循。據波蘭國家計算機安全事件響應中心（CERT Polska）2025年6月報告，Ghostwriter在部分案例中利用竊取的憑證深度滲透目標郵箱。2025年底，其開始引入反分析技術：誘餌文檔加入動態CAPTCHA驗證，只有完成人機識別才會觸發后續攻擊鏈條，自動化沙箱分析因此難以完整復現攻擊過程。

ESET研究員Damien Schaeffer評價稱，FrostyNeighbor展現出"高度的運營成熟度"——多樣化誘餌文檔、持續迭代的下載器變種、新型投遞機制。此次針對烏克蘭的地理圍欄PDF釣魚，是其"更新武器庫、規避檢測以達成滲透目標"的延續。

從技術視角拆解，此次攻擊鏈包含五個關鍵節點：地理圍欄篩選確保攻擊精準指向烏克蘭境內目標；PDF格式利用政府職員對正式文檔的信任慣性；JavaScript載荷規避傳統宏文檔的安全預警；RAR壓縮包增加靜態檢測難度；PicassoLoader與Cobalt Strike的組合則提供模塊化、可擴展的遠控能力。每一層都針對企業安全體系的特定環節設計，形成遞進式穿透。

值得注意的是攻擊者的"本地化"投入。Ukrtelecom作為烏克蘭固網通信主導運營商，其品牌標識對政府職員具有天然可信度。攻擊者不僅偽造文檔視覺風格，還針對目標國家的網絡環境定制地理圍欄邏輯——這種"一國一策"的精細化運營，反映出國家級威脅行為體與 opportunistic 犯罪分子的本質差異。

防御層面，此次攻擊暴露的薄弱環節具有普遍性。PDF作為日常辦公高頻格式，多數組織未對其嵌入鏈接實施強制點擊前審核；地理圍欄技術雖被安全廠商用于威脅情報，但攻擊者反向利用該技術進行目標篩選，形成"技術對攻"態勢；JavaScript載荷脫離瀏覽器沙箱直接在系統執行，則依賴終端檢測與響應（EDR）產品的行為監控能力。

Ghostwriter的持續活躍也映射出東歐網絡沖突的長期化特征。從2016年至今近十年間，該組織工具鏈歷經多輪更替，從早期的簡單木馬到現今的多階段載荷、反分析機制，技術迭代從未中斷。其攻擊目標始終圍繞烏克蘭、波蘭等鄰國政府及關鍵基礎設施，與地緣政治張力高度同步。

對于安全運營團隊而言，此類攻擊的檢出難點在于"低音量高精準"——地理圍欄篩選大幅縮小了攻擊暴露面，傳統基于大規模樣本分析的威脅情報機制可能延遲發現。針對性的緩解措施包括：對來源不明的PDF文檔啟用隔離沙箱預覽；監控RAR/JS組合文件的終端執行行為；對政府相關品牌標識的釣魚濫用建立快速響應流程；以及在郵件網關層面對烏克蘭等高風險地區來源的附件提升檢測優先級。

攻擊者正在把"精細化運營"推向新維度。當一份PDF能判斷你在哪里、再決定給你看什么，傳統的"一刀切"防御策略顯然需要重新校準。