Google сообщает, что поддерживаемая Россией хакерская группа ColdRiver распространяет ранее неизвестные вредоносные программы с бэкдорами, используя полезную нагрузку, маскирующуюся под инструмент для расшифровки PDF
Злоумышленники отправляют PDF-документы, которые кажутся зашифрованными, выдавая себя за знакомых людей. Эта тактика впервые была замечена в ноябре 2022 года. Когда получатели отвечают, что не могут прочитать «зашифрованные» документы, им отправляется ссылка на загрузку PDF-дешифратора исполняемого файла (под названием Proton-decrypter.exe) для просмотра содержимого документов.
Однако, несмотря на то, что поддельная программа для расшифровки отображает ложный PDF-документ, она создает бэкдор на устройствах жертв, используя штамм вредоносного ПО, названный Spica исследователями безопасности из Группы анализа угроз (TAG) Google которые и выявили эти атаки.
Исследователи считают, что, скорее всего, существует несколько образцов Spica, соответствующих фишинговым заманухам, каждый с различным ложным документом, хотя в ходе расследования этой кампании им удалось захватить только один образец. Вредоносная программа Spica на базе Rust использует JSON через веб-сокеты для связи со своим командно-контрольным (C2) сервером, что позволяет выполнять произвольные команды оболочки, красть куки Chrome Firefox Opera и Edge загружать и скачивать файлы, а также выводить документы.
После развертывания Spica также создает запланированную задачу „CalendarChecker“ на скомпрометированных устройствах.
«TAG наблюдала использование SPICA еще в сентябре 2023 года, но полагает, что COLDRIVER использовал бэкдор как минимум до ноября 2022 года»
«Хотя TAG наблюдала четыре различных варианта первоначальной «зашифрованной» PDF-приманки, мы смогли успешно извлечь только один экземпляр SPICA.»
- говорится в сообщении Google TAG
Предупреждения об атаках
Google добавил все домены, веб-сайты и файлы, использованные в этих атаках, в службу защиты от фишинга Safe Browsing и уведомил всех пользователей Gmail и Workspace о том, что они стали жертвами атаки.
ColdRiver, также отслеживаемая как Callisto Group, Seaborgium и Star Blizzard, была активна с конца 2015 года и известна своими хакерами, обладающими навыками разведки из открытых источников (OSINT) и социальной инженерии, которые используются для поиска и заманивания целей в фишинговых атаках.
В декабре Великобритания связала ColdRiver с российским подразделением Федеральной службы безопасности (ФСБ) «Центр 18», службой внутренней безопасности и контрразведки страны.
Ранее компания Microsoft пресекла атаки ColdRiver на несколько европейских стран НАТО, отключив учетные записи Microsoft, которые злоумышленники использовали для слежки и сбора электронной почты.
С декабря 2023 года Государственный департамент США предлагает вознаграждение в размере
10 миллионов долларов за информацию, которая может привести к обнаружению или идентификации участников угроз ColdRiver.
Комментарии (0)