Die Gruppe Ghostwriter hat erneut die ukrainische Regierung ins Visier genommen und setzt dabei eine Phishing-Kampagne mit Geolokalisierung ein. Die Angreifer versenden PDF-Dateien, die beim Öffnen die Malware Cobalt Strike ausführen. Diese Geofencing-Taktik aktiviert den Angriff nur, wenn sich das Opfer an einem bestimmten Ort befindet, was die Analyse außerhalb der Ukraine erschwert.
Wie Geofencing bei der Malware-Verteilung funktioniert 🗺️
Geofencing ist eine Technik, die den Standort des Opfers anhand von IP-Koordinaten oder GPS überprüft, bevor die Schadsoftware ausgeführt wird. In dieser Kampagne enthalten die bösartigen PDFs Links, die Cobalt Strike nur herunterladen, wenn sich der Benutzer innerhalb der Ukraine befindet. Dies verhindert, dass Analysten in anderen Ländern den schädlichen Code erkennen, wenn sie die Datei in kontrollierten Umgebungen öffnen. Cobalt Strike ermöglicht es Angreifern, Befehle auszuführen, Daten zu stehlen und sich seitlich im kompromittierten Netzwerk zu bewegen – alles von einem entfernten Server aus.
Der Angriff, der nur funktioniert, wenn du am richtigen Ort bist 🎯
Ghostwriter hat die Kunst der Exklusivität perfektioniert: Ihr Phishing öffnet die Tür nur, wenn du in der Ukraine bist. Bist du ein Analyst in Spanien oder den USA, verhält sich das PDF wie ein harmloses Dokument. Es ist, als würde die Malware sagen: Entschuldigung, du stehst nicht auf der Gästeliste. In der Zwischenzeit öffnen ukrainische Beamte die Datei und erhalten eine digitale Überraschung, um die sie nicht gebeten haben. Geolokalisierung als umgekehrter Sicherheitsfilter: ein Trick, der jeden Ticketverkäufer für Konzerte zum Lächeln bringen würde.