Ghostwriter组织再次对乌克兰政府发起攻击,利用基于地理定位的网络钓鱼活动。攻击者发送PDF文件,一旦打开,便会部署Cobalt Strike恶意软件。这种地理围栏策略仅在受害者位于特定位置时才会触发攻击,使得从乌克兰境外进行分析变得困难。
地理围栏在恶意软件分发中的工作原理 🗺️
地理围栏是一种在执行有效载荷前,通过IP坐标或GPS验证受害者位置的技术。在此次活动中,恶意PDF文件包含的链接仅在用户位于乌克兰境内时才会下载Cobalt Strike。这避免了其他国家的分析师在受控环境中打开文件时检测到恶意代码。Cobalt Strike允许攻击者执行命令、窃取数据并在受感染的网络中横向移动,所有操作均通过远程服务器完成。
只有在正确地点才能触发的攻击 🎯
Ghostwriter已将其排他性艺术发挥到极致:其网络钓鱼仅在乌克兰境内才会打开大门。如果你是在西班牙或美国的分析师,PDF会表现得像一份无害文档。这就像恶意软件在说:抱歉,你不在邀请名单上。与此同时,乌克兰官员打开文件后,会收到一份他们未曾要求的数字“惊喜”。地理定位作为逆向安全过滤器:这一技巧足以让任何音乐会门票销售员会心一笑。