Η Google λέει ό
τι
η ομάδα
hacking
που υποστηρίζεται από το ColdRiver προωθεί προηγουμένως άγνωστο κακόβουλο λογισμικό backdoor χρησιμοποιώντας ωφέλιμα φορτία που μεταμφιέζονται ως εργαλείο αποκρυπτογράφησης PDF.
Οι εισβολείς στέλνουν έγγραφα PDF που φαίνεται να είναι κρυπτογραφημένα μέσω email phishing που πλαστοπροσωπούν άτομα που συνδέονται με τους στόχους τους (μια τακτική που παρατηρήθηκε για πρώτη φορά τον Νοέμβριο του 2022).
Όταν οι παραλήπτες απαντούν ότι δεν μπορούν να διαβάσουν τα «κρυπτογραφημένα» έγγραφα, τους αποστέλλεται ένας σύνδεσμος για λήψη αυτού που μοιάζει με εκτελέσιμο αποκρυπτογραφητή PDF (με το όνομα Proton-decrypter.exe) για να προβάλουν τα περιεχόμενα των εγγράφων δέλεαρ.
“Το COLDRIVER παρουσιάζει αυτά τα έγγραφα ως ένα νέο κείμενο ή άλλο είδος άρθρου που θέλει να δημοσιεύσει ο λογαριασμός πλαστοπροσωπίας, ζητώντας σχόλια από τον στόχο. Όταν ο χρήστης ανοίγει το καλό PDF, το κείμενο εμφανίζεται κρυπτογραφημένο.”
είπε το Google TAG
.
Ωστόσο, παρόλο που αυτό το ψεύτικο λογισμικό αποκρυπτογράφησης θα εμφανίζει ένα έγγραφο PDF-δόλωμα, θα κάνει backdoor τις συσκευές των θυμάτων χρησιμοποιώντας ένα είδος κακόβουλου λογισμικού που ονομάστηκε Spica από
ερευνητές
ασφαλείας της Ομάδας Ανάλυσης Απειλές (TAG) της Google, οι οποίοι εντόπισαν τις επιθέσεις.
Οι ερευνητές πιστεύουν ότι πιθανότατα υπάρχουν πολλά δείγματα Spica που ταιριάζουν με τα θέλγητρα phishing, το καθένα με διαφορετικό έγγραφο δόλωμα, παρόλο που κατάφεραν να συλλάβουν μόνο ένα δείγμα κατά τη διερεύνηση αυτής της εκστρατείας.
Έγγραφο δέλεαρ PDF (Google TAG)
Το κακόβουλο λογισμικό που βασίζεται στο Spica Rust χρησιμοποιεί JSON μέσω δικτυακών υποδοχών για να επικοινωνεί με τον διακομιστή εντολών και ελέγχου (C2) και βοηθά στην εκτέλεση αυθαίρετων εντολών φλοιού, την κλοπή cookie Chrome, Firefox, Opera και Edge, τη μεταφόρτωση και λήψη αρχείων και έγγραφα διείσδυσης.
Μόλις αναπτυχθεί, το Spica θα δημιουργήσει επίσης επιμονή χρησιμοποιώντας μια συγκεχυμένη εντολή PowerShell που θα δημιουργήσει μια προγραμματισμένη εργασία «CalendarChecker» στις παραβιασμένες συσκευές.
“Η TAG παρατήρησε ότι το SPICA χρησιμοποιείται ήδη από τον Σεπτέμβριο του
2023
, αλλά πιστεύουμε ότι η χρήση του backdoor από την COLDRIVER χρονολογείται τουλάχιστον από τον Νοέμβριο του 2022”, ανέφερε η Google TAG.
“Ενώ η TAG έχει παρατηρήσει τέσσερις διαφορετικές παραλλαγές του αρχικού “κρυπτογραφημένου” δέλεαρ PDF, καταφέραμε να ανακτήσουμε με επιτυχία μόνο μία παρουσία του SPICA.”
Προειδοποιήσεις επίθεσης που υποστηρίζονται από την κυβέρνηση
Η Google έχει προσθέσει όλους τους τομείς, τους ιστότοπους και τα αρχεία που χρησιμοποιούνται σε αυτές τις επιθέσεις στην υπηρεσία προστασίας ηλεκτρονικού “ψαρέματος” της Ασφαλούς περιήγησης και έχει ειδοποιήσει όλους τους στοχευμένους χρήστες του Gmail και του Workspace ότι ήταν στόχος επίθεσης που υποστηρίζεται από την κυβέρνηση.
Παρακολουθείται επίσης ως Callisto Group, Seaborgium και Star Blizzard, το ColdRiver είναι ενεργό από τα τέλη του 2015 και είναι γνωστό για τις δεξιότητες ανοιχτού κώδικα νοημοσύνης των χειριστών (OSINT) και κοινωνικής μηχανικής που χρησιμοποιούνται για την έρευνα και τον δελεασμό στόχων σε επιθέσεις ψαρέματος με δόρυ. .
Τον Δεκέμβριο, το Ηνωμένο Βασίλειο και οι σύμμαχοι του Five Eyes συνέδεσαν το ColdRiver με το τμήμα «Centre 18» της Ομοσπονδιακής Υπηρεσίας Ασφαλείας (FSB) της Ρωσίας, την υπηρεσία εσωτερικής ασφάλειας και αντικατασκοπείας της χώρας.
Προηγουμένως, η Microsoft απέτρεψε επιθέσεις του ColdRiver που στόχευαν πολλά ευρωπαϊκά κράτη του ΝΑΤΟ
απε
νεργοποιώντας τους λογαριασμούς Microsoft που χρησιμοποιούσαν οι επιτιθέμενοι για την παρακολούθηση και τη συλλογή email.
Από τον Δεκέμβριο του 2023, το Υπουργείο Εξωτερικών των ΗΠΑ προσφέρει ανταμοιβές
ανταμοιβή έως και 10 εκατομμύρια δολάρια
για πληροφορίες που θα μπορούσαν να οδηγήσουν στην τοποθεσία ή την αναγνώριση των παραγόντων απειλής του ColdRiver.
VIA:
bleepingcomputer.com
