Ghostwriterグループが再びウクライナ政府を標的に、位置情報を利用したフィッシングキャンペーンを展開しています。攻撃者はPDFファイルを送信し、開封されるとマルウェアCobalt Strikeが展開されます。このジオフェンシング戦術は、被害者が特定の場所にいる場合のみ攻撃を起動させるため、ウクライナ国外からの分析を困難にしています。
マルウェア配布におけるジオフェンシングの仕組み 🗺️
ジオフェンシングは、ペイロードを実行する前に、IP座標やGPSを通じて被害者の位置情報を確認する技術です。今回のキャンペーンでは、悪意のあるPDFファイルにリンクが含まれており、ユーザーがウクライナ国内にいる場合にのみCobalt Strikeをダウンロードします。これにより、他国のアナリストが管理された環境でファイルを開いても、悪意のあるコードを検出できなくなります。Cobalt Strikeは、攻撃者がリモートサーバーからコマンドの実行、データの窃取、侵害されたネットワーク内での横方向の移動を可能にします。
正しい場所にいなければ機能しない攻撃 🎯
Ghostwriterは排他性の技術を磨き上げました。そのフィッシングは、ウクライナにいる場合にのみ扉を開きます。スペインや米国のアナリストであれば、PDFは無害な文書として動作します。まるでマルウェアがこう言っているかのようです:申し訳ありませんが、あなたは招待客リストに載っていません。その間、ウクライナの職員がファイルを開き、頼んでもいないデジタルな驚きを受け取ります。逆セキュリティフィルターとしての位置情報:どんなコンサートチケット販売員も微笑むようなトリックです。