Il gruppo Ghostwriter ha nuovamente colpito il governo ucraino, utilizzando una campagna di phishing con geolocalizzazione. Gli aggressori inviano file PDF che, una volta aperti, distribuiscono il malware Cobalt Strike. Questa tattica di georecinzione attiva l'attacco solo se la vittima si trova in una posizione specifica, rendendo difficile l'analisi al di fuori dell'Ucraina.
Come funziona la georecinzione nella distribuzione del malware 🗺️
La georecinzione è una tecnica che verifica la posizione della vittima tramite coordinate IP o GPS prima di eseguire il payload. In questa campagna, i PDF dannosi contengono link che scaricano Cobalt Strike solo se l'utente si trova all'interno dell'Ucraina. Ciò impedisce agli analisti di altri paesi di rilevare il codice dannoso all'apertura del file in ambienti controllati. Cobalt Strike consente agli aggressori di eseguire comandi, rubare dati e muoversi lateralmente nella rete compromessa, il tutto da un server remoto.
L'attacco che funziona solo se sei nel posto giusto 🎯
Ghostwriter ha perfezionato l'arte dell'esclusività: il suo phishing apre la porta solo se ti trovi in Ucraina. Se sei un analista in Spagna o negli Stati Uniti, il PDF si comporta come un documento innocuo. È come se il malware dicesse: mi dispiace, non sei nella lista degli invitati. Nel frattempo, i funzionari ucraini aprono il file e ricevono una sorpresa digitale che non avevano richiesto. La geolocalizzazione come filtro di sicurezza inverso: un trucco che farebbe sorridere qualsiasi venditore di biglietti per concerti.