고스트라이터 그룹이 우크라이나 정부를 대상으로 지리적 위치 기반 피싱 캠페인을 다시 시작했습니다. 공격자는 PDF 파일을 보내며, 이를 열면 Cobalt Strike 악성코드가 배포됩니다. 이 지오펜싱 전술은 피해자가 특정 위치에 있을 때만 공격을 활성화하여 우크라이나 외부에서의 분석을 어렵게 만듭니다.
악성코드 배포에서 지오펜싱이 작동하는 방식 🗺️
지오펜싱은 페이로드를 실행하기 전에 IP 좌표나 GPS를 통해 피해자의 위치를 확인하는 기술입니다. 이 캠페인에서 악성 PDF 파일에는 사용자가 우크라이나 내에 있을 때만 Cobalt Strike를 다운로드하는 링크가 포함되어 있습니다. 이는 다른 국가의 분석가가 통제된 환경에서 파일을 열 때 악성 코드를 탐지하는 것을 방지합니다. Cobalt Strike를 통해 공격자는 명령 실행, 데이터 탈취, 손상된 네트워크 내 측면 이동 등을 원격 서버에서 수행할 수 있습니다.
올바른 장소에 있어야만 작동하는 공격 🎯
고스트라이터는 배타성의 기술을 완성했습니다. 그들의 피싱은 당신이 우크라이나에 있을 때만 문을 엽니다. 스페인이나 미국의 분석가라면 PDF는 무해한 문서처럼 행동합니다. 마치 악성코드가 말하는 것과 같습니다: 죄송합니다, 초대 명단에 없습니다. 한편, 우크라이나 공무원들은 파일을 열고 요청하지 않은 디지털 서프라이즈를 받습니다. 역방향 보안 필터로서의 지리적 위치: 콘서트 티켓 판매원이라면 누구나 미소 지을 만한 트릭입니다.