Google, Coldriver Rus destekli hackleme grubunun, bir PDF şifre çözme aracı olarak maskelenen yükleri kullanarak daha önce bilinmeyen arka kapı kötü amaçlı yazılımını zorladığını söylüyor.
Saldırganlar, hedeflerine bağlı kişileri taklit eden kimlik avı e -postaları aracılığıyla şifrelenmiş gibi görünen PDF belgeleri gönderiyor (ilk olarak Kasım 2022'de gözlenen bir taktik).
Alıcılar 'şifrelenmiş' belgeleri okuyamadıklarını yanıtladıklarında, cazibe belgelerinin içeriğini görüntülemek için bir PDF şifreleme çalıştırıcısı (proton-decrypter.exe adlı) gibi görünen bir bağlantı göndermek için bir bağlantı gönderilir.
Google Tag, "Coldriver, bu belgeleri yeni bir op-ed veya taklit hesabının yayınlamak istediği, hedeften geri bildirim istediği başka bir makale türü olarak sunuyor. Kullanıcı iyi huylu PDF'yi açtığında, metin şifreli görünüyor." Dedi.
Bununla birlikte, bu sahte şifre çözme yazılımı bir tuzak PDF belgesi gösterse de, saldırıları tespit eden Google'ın Tehdit Analiz Grubu (TAG) ile güvenlik araştırmacıları tarafından Spica olarak adlandırılan bir kötü amaçlı yazılım suşu kullanarak kurbanların cihazlarını geri yükleyecektir.
Araştırmacılar, bu kampanyayı araştırırken sadece tek bir örnek yakalayabilmelerine rağmen, her biri farklı bir tuzak belgesine sahip kimlik avı yemleriyle eşleşen birden fazla spica örneği olduğuna inanıyorlar.
Spica Rust tabanlı kötü amaçlı yazılım, komut ve kontrol (C2) sunucusuyla iletişim kurmak için WebSockets üzerinden JSON kullanır ve keyfi kabuk komutları çalıştırmaya, Chrome, Firefox, Opera ve Edge çerezlerini çalmaya, dosyaları yüklemeye ve indirmeye yardımcı olur ve dosyaları yüklemeye ve indirmeye yardımcı olur Belgeleri pes et.
Bir kez konuşlandırıldıktan sonra Spica, tehlikeye atılan cihazlarda 'Calendarchecker' planlanmış bir görev oluşturacak gizlenmiş bir PowerShell komutu kullanarak da kalıcılık oluşturacaktır.
Google Tag, "Tag, Spica'nın Eylül 2023 gibi erken bir tarihte kullanıldığını gözlemledi, ancak Coldriver'ın arka kapıyı kullanımının en azından Kasım 2022'ye kadar gittiğine inanıyor." Dedi.
"Tag, ilk" şifreli "PDF lure'nin dört farklı varyantını gözlemlerken, sadece tek bir Spica örneğini başarıyla alabildik."
Google, bu saldırılarda kullanılan tüm alan adlarını, web sitelerini ve dosyaları güvenli tarama kimlik avı koruma hizmetine ekledi ve tüm hedeflenen Gmail ve çalışma alanı kullanıcılarına devlet destekli bir saldırının hedefi olduklarını bildirdi.
Ayrıca Callisto Grubu, Seaborgium ve Star Blizzard olarak da izlenen Coldriver, 2015'in sonlarından beri aktiftir ve operatörlerinin açık kaynak zekası (OSINT) ve mızrak avcı saldırılarında hedefleri araştırmak ve cezbetmek için kullanılan sosyal mühendislik becerileri ile bilinir. .
Aralık ayında, Birleşik Krallık ve Beş Göz Müttefikleri, Coldriver'ı ülkenin iç güvenlik ve karşı istihbarat hizmeti olan Rusya'nın 'Merkez 18' Federal Güvenlik Servisi (FSB) bölümüne bağladı.
Daha önce, Microsoft, Microsoft hesaplarını gözetim ve hasat e -postaları için kullanılan Microsoft hesaplarını devre dışı bırakarak birkaç Avrupa Nato ülkesini hedefleyen Coldriver saldırılarını engelledi.
Aralık 2023'ten bu yana, ABD Dışişleri Bakanlığı, Coldriver tehdit aktörlerinin yerini veya tanımlanmasına yol açabilecek bilgiler için 10 milyon dolara kadar ödül veriyor.
İngiltere ve Müttefikler Rus FSB Hacking Group, Yaptırım Üyeleri
Microsoft, Rus bilgisayar korsanlarının NATO hedefleri üzerindeki operasyonunu bozuyor
Büyüleyici kedi hackerları macOS için yeni 'Noknok' kötü amaçlı yazılım kullanıyor
Rus askeri bilgisayar korsanları Ukrayna'yı yeni masepie kötü amaçlı yazılımlarla hedefleyin
Yeni Web Enjeksiyonları Kampanyası 50.000 kişiden bankacılık verilerini çalıyor
Kaynak: Bleeping Computer