Группировка Ghostwriter снова нанесла удар по украинскому правительству, используя фишинговую кампанию с геолокацией. Злоумышленники рассылают PDF-файлы, которые при открытии разворачивают вредоносное ПО Cobalt Strike. Эта тактика геозонирования активирует атаку только в том случае, если жертва находится в определенном месте, что затрудняет анализ за пределами Украины.
Как работает геозонирование при распространении вредоносного ПО 🗺️
Геозонирование — это метод, который проверяет местоположение жертвы по IP-координатам или GPS перед выполнением полезной нагрузки. В этой кампании вредоносные PDF-файлы содержат ссылки, которые загружают Cobalt Strike только в том случае, если пользователь находится на территории Украины. Это не позволяет аналитикам из других стран обнаружить вредоносный код при открытии файла в контролируемых средах. Cobalt Strike позволяет злоумышленникам выполнять команды, красть данные и перемещаться по скомпрометированной сети, и все это с удаленного сервера.
Атака, которая срабатывает, только если вы находитесь в нужном месте 🎯
Ghostwriter отточил искусство эксклюзивности: их фишинг открывает дверь только в том случае, если вы находитесь в Украине. Если вы аналитик в Испании или США, PDF-файл ведет себя как безвредный документ. Это похоже на то, как если бы вредоносное ПО говорило: извините, вас нет в списке приглашенных. Тем временем украинские чиновники открывают файл и получают цифровой сюрприз, которого не заказывали. Геолокация как обратный фильтр безопасности: трюк, который заставил бы улыбнуться любого продавца билетов на концерты.