Ghostwriter: геофенсинг в PDF‑фишинге и развёртывание Cobalt Strike против госорганов Украины

Коллеги, хочу обратить внимание: в сфере кибербезопасности выявлена новая кампания Ghostwriter против украинских госорганов.
- С марта 2026 злоумышленники рассылали PDF, маскирующие «Укртелеком», с ссылкой на RAR с JS‑вредоноcом PicassoLoader, который загружает Cobalt Strike.
- Используется геофенсинг: жертвы вне Украины получают безвредный файл.
- Загрузчик профилирует хост и периодически отправляет фингерпринт; операторы вручную решают о доставке финального droppa.
- Основные цели — военные, оборонные и госструктуры.
Почему это важно: многоступенчатая и геоцелевая цепочка усложняет обнаружение и реагирование.
Пересмотрим ли правила обработки вложений и геоблоки в почтовых шлюзах?
#кибербезопасность #фишинг #APT #CobaltStrike


Последние комментарии
Комментариев пока нет.