عادت مجموعة Ghostwriter إلى مهاجمة الحكومة الأوكرانية، مستخدمةً حملة تصيد احتيالي تعتمد على تحديد الموقع الجغرافي. يرسل المهاجمون ملفات PDF، وعند فتحها، تنشر برنامج Cobalt Strike الخبيث. تعمل هذه التقنية (السياج الجغرافي) على تنشيط الهجوم فقط إذا كان الضحية في موقع محدد، مما يصعّب التحليل من خارج أوكرانيا.
كيف يعمل السياج الجغرافي في توزيع البرامج الضارة 🗺️
السياج الجغرافي هو تقنية تتحقق من موقع الضحية باستخدام إحداثيات IP أو GPS قبل تنفيذ الحمولة. في هذه الحملة، تحتوي ملفات PDF الضارة على روابط لا تقوم بتنزيل Cobalt Strike إلا إذا كان المستخدم داخل أوكرانيا. وهذا يمنع المحللين في البلدان الأخرى من اكتشاف الكود الضار عند فتح الملف في بيئات خاضعة للرقابة. يسمح Cobalt Strike للمهاجمين بتنفيذ الأوامر، وسرقة البيانات، والتنقل أفقيًا في الشبكة المخترقة، كل ذلك من خادم بعيد.
الهجوم الذي لا يعمل إلا إذا كنت في المكان الصحيح 🎯
أتقنت Ghostwriter فن الحصرية: هجوم التصيد الاحتيالي الخاص بها لا يفتح الباب إلا إذا كنت في أوكرانيا. إذا كنت محللاً في إسبانيا أو الولايات المتحدة، فإن ملف PDF يتصرف كمستند غير ضار. الأمر كما لو أن البرنامج الضار يقول: عذرًا، أنت لست على قائمة الضيوف. في هذه الأثناء، يفتح المسؤولون الأوكرانيون الملف ويتلقون مفاجأة رقمية لم يطلبواها. تحديد الموقع الجغرافي كمرشح أمني عكسي: خدعة قد تجعل أي بائع تذاكر حفلات يبتسم.