Было замечено, что связанный с Россией исполнитель угроз, известный как COLDRIVER, развивает свои навыки, выходя за рамки сбора учетных данных и распространяя свое первое в истории пользовательское вредоносное ПО, написанное на языке программирования Rust.
Группа анализа угроз Google (TAG), которая поделилась подробностями последней активности, заявила, что цепочки атак используют PDF-файлы в качестве документов-приманки для запуска последовательности заражения. Приманки отправляются с олицетворяющих аккаунтов.
COLDRIVER, также известный под названиями Blue Callisto, BlueCharlie (или TAG-53), Calisto (поочередно пишется Callisto), Gossamer Bear, Star Blizzard (ранее SEABORGIUM), TA446 и UNC4057, известен своей активностью с 2019 года, нацеленной на широкий спектр секторов.
Сюда входят научные круги, оборонные ведомства, правительственные организации, НПО, аналитические центры, политические организации, а в последнее время и объекты оборонно-промышленного комплекса и энергетические объекты.
"Цели в Великобритании и США, по-видимому, больше всего пострадали от активности Star Blizzard, однако активность также наблюдалась в отношении целей в других странах НАТО и странах, соседних с Россией", - сообщило правительство США в прошлом месяце.
Фишинговые кампании, проводимые группой, предназначены для привлечения потенциальных жертв и укрепления доверия к ним с конечной целью распространения поддельных страниц входа, чтобы получить их учетные данные и доступ к учетным записям.
Microsoft, анализируя тактику COLDRIVER, призвала отказаться от использования серверных скриптов для предотвращения автоматического сканирования инфраструктуры, контролируемой участниками, и определения интересующих целей, прежде чем перенаправлять их на фишинговые целевые страницы.
Последние данные Google TAG показывают, что злоумышленник использовал безопасные PDF-документы в качестве отправной точки еще в ноябре 2022 года, чтобы побудить цели открыть файлы.
"COLDRIVER представляет эти документы как новую редакционную статью или другой тип статьи, которую хочет опубликовать аккаунт-олицетворение, запрашивая обратную связь от цели", - сказал технический гигант. "Когда пользователь открывает безопасный PDF-файл, текст кажется зашифрованным".
В случае, если получатель отвечает на сообщение о том, что он не может прочитать документ, субъект угрозы отвечает ссылкой на предполагаемый инструмент дешифрования ("Proton-decrypter.exe"), размещенный в службе облачного хранения.
Выбор названия "Proton-decrypter.exe" примечателен тем, что Microsoft ранее показала, что злоумышленник преимущественно использует Proton Drive для отправки PDF-приманок через фишинговые сообщения.
На самом деле дешифратор - это бэкдор с именем SPICA, который предоставляет COLDRIVER скрытый доступ к компьютеру, одновременно отображая документ-приманку для продолжения уловки.
Предыдущие выводы WithSecure (ранее F-Secure) выявили использование злоумышленником легкого бэкдора под названием Scout, вредоносного инструмента из хакерской платформы Galileo HackingTeam Remote Control System (RCS), в рамках фишинговых кампаний, наблюдавшихся в начале 2016 года.
Scout "предназначен для использования в качестве начального инструмента разведки для сбора базовой системной информации и скриншотов со скомпрометированного компьютера, а также для установки дополнительного вредоносного ПО", - отметила в то время финская компания по кибербезопасности.
SPICA, которая является первой пользовательской вредоносной программой, разработанной и используемой COLDRIVER, использует JSON поверх WebSockets для управления (C2), облегчая выполнение произвольных команд командной строки, кражу файлов cookie из веб-браузеров, загрузку файлов, а также перечисление и эксфильтрацию файлов. Постоянство достигается с помощью запланированной задачи.
"После запуска SPICA декодирует встроенный PDF-файл, записывает его на диск и открывает в качестве приманки для пользователя", - говорится в сообщении Google TAG. "В фоновом режиме он устанавливает постоянство и запускает основной цикл C2, ожидая выполнения команд".
Есть основания полагать, что использование импланта национальным субъектом восходит к ноябрю 2022 года, когда служба кибербезопасности использовала несколько вариантов "зашифрованного" PDF-файла-приманки, что указывает на то, что могут быть разные версии SPICA, соответствующие документу-приманке, отправленному целям.
В рамках своих усилий по срыву кампании и предотвращению дальнейшего использования Google TAG заявил, что добавил все известные веб-сайты, домены и файлы, связанные с хакерской группой, в списки блокировки безопасного просмотра.
Это произошло более чем через месяц после того, как правительства Великобритании и США ввели санкции против двух российских сотрудников COLDRIVER, Руслана Александровича Перетятько и Андрея Станиславовича Коринца, за их участие в проведении шпионских фишинговых операций.
С тех пор французская компания по кибербезопасности Sekoia обнародовала связи между Korinets и известной инфраструктурой, используемой группой, которая включает десятки фишинговых доменов и несколько серверов.
"Calisto вносит свой вклад в усилия российской разведки по поддержке стратегических интересов Москвы", - заявили в компании. "Похоже, что регистрация домена была одним из основных навыков [Коринца], который, вероятно, использовался российской разведкой либо напрямую, либо через отношения с подрядчиком".
Группа анализа угроз Google (TAG), которая поделилась подробностями последней активности, заявила, что цепочки атак используют PDF-файлы в качестве документов-приманки для запуска последовательности заражения. Приманки отправляются с олицетворяющих аккаунтов.
COLDRIVER, также известный под названиями Blue Callisto, BlueCharlie (или TAG-53), Calisto (поочередно пишется Callisto), Gossamer Bear, Star Blizzard (ранее SEABORGIUM), TA446 и UNC4057, известен своей активностью с 2019 года, нацеленной на широкий спектр секторов.
Сюда входят научные круги, оборонные ведомства, правительственные организации, НПО, аналитические центры, политические организации, а в последнее время и объекты оборонно-промышленного комплекса и энергетические объекты.
"Цели в Великобритании и США, по-видимому, больше всего пострадали от активности Star Blizzard, однако активность также наблюдалась в отношении целей в других странах НАТО и странах, соседних с Россией", - сообщило правительство США в прошлом месяце.
Фишинговые кампании, проводимые группой, предназначены для привлечения потенциальных жертв и укрепления доверия к ним с конечной целью распространения поддельных страниц входа, чтобы получить их учетные данные и доступ к учетным записям.
Microsoft, анализируя тактику COLDRIVER, призвала отказаться от использования серверных скриптов для предотвращения автоматического сканирования инфраструктуры, контролируемой участниками, и определения интересующих целей, прежде чем перенаправлять их на фишинговые целевые страницы.
Последние данные Google TAG показывают, что злоумышленник использовал безопасные PDF-документы в качестве отправной точки еще в ноябре 2022 года, чтобы побудить цели открыть файлы.
"COLDRIVER представляет эти документы как новую редакционную статью или другой тип статьи, которую хочет опубликовать аккаунт-олицетворение, запрашивая обратную связь от цели", - сказал технический гигант. "Когда пользователь открывает безопасный PDF-файл, текст кажется зашифрованным".
В случае, если получатель отвечает на сообщение о том, что он не может прочитать документ, субъект угрозы отвечает ссылкой на предполагаемый инструмент дешифрования ("Proton-decrypter.exe"), размещенный в службе облачного хранения.
Выбор названия "Proton-decrypter.exe" примечателен тем, что Microsoft ранее показала, что злоумышленник преимущественно использует Proton Drive для отправки PDF-приманок через фишинговые сообщения.
На самом деле дешифратор - это бэкдор с именем SPICA, который предоставляет COLDRIVER скрытый доступ к компьютеру, одновременно отображая документ-приманку для продолжения уловки.
Предыдущие выводы WithSecure (ранее F-Secure) выявили использование злоумышленником легкого бэкдора под названием Scout, вредоносного инструмента из хакерской платформы Galileo HackingTeam Remote Control System (RCS), в рамках фишинговых кампаний, наблюдавшихся в начале 2016 года.
Scout "предназначен для использования в качестве начального инструмента разведки для сбора базовой системной информации и скриншотов со скомпрометированного компьютера, а также для установки дополнительного вредоносного ПО", - отметила в то время финская компания по кибербезопасности.
SPICA, которая является первой пользовательской вредоносной программой, разработанной и используемой COLDRIVER, использует JSON поверх WebSockets для управления (C2), облегчая выполнение произвольных команд командной строки, кражу файлов cookie из веб-браузеров, загрузку файлов, а также перечисление и эксфильтрацию файлов. Постоянство достигается с помощью запланированной задачи.
"После запуска SPICA декодирует встроенный PDF-файл, записывает его на диск и открывает в качестве приманки для пользователя", - говорится в сообщении Google TAG. "В фоновом режиме он устанавливает постоянство и запускает основной цикл C2, ожидая выполнения команд".
Есть основания полагать, что использование импланта национальным субъектом восходит к ноябрю 2022 года, когда служба кибербезопасности использовала несколько вариантов "зашифрованного" PDF-файла-приманки, что указывает на то, что могут быть разные версии SPICA, соответствующие документу-приманке, отправленному целям.
В рамках своих усилий по срыву кампании и предотвращению дальнейшего использования Google TAG заявил, что добавил все известные веб-сайты, домены и файлы, связанные с хакерской группой, в списки блокировки безопасного просмотра.
Это произошло более чем через месяц после того, как правительства Великобритании и США ввели санкции против двух российских сотрудников COLDRIVER, Руслана Александровича Перетятько и Андрея Станиславовича Коринца, за их участие в проведении шпионских фишинговых операций.
С тех пор французская компания по кибербезопасности Sekoia обнародовала связи между Korinets и известной инфраструктурой, используемой группой, которая включает десятки фишинговых доменов и несколько серверов.
"Calisto вносит свой вклад в усилия российской разведки по поддержке стратегических интересов Москвы", - заявили в компании. "Похоже, что регистрация домена была одним из основных навыков [Коринца], который, вероятно, использовался российской разведкой либо напрямую, либо через отношения с подрядчиком".
