Il Gruppo di Analisi delle Minacce di Google (TAG) ha recentemente pubblicato un articolo che getta luce sull’uso di malware da parte di COLDRIVER, un gruppo di minacce russe noto anche come UNC4057, Star Blizzard e Callisto. Questo gruppo si concentra sull’attività di phishing per ottenere credenziali di individui di alto profilo in ONG, ex ufficiali di intelligence e militari, e governi della NATO. Per anni, TAG ha contrastato e riportato gli sforzi di questo gruppo per condurre spionaggio allineato agli interessi del governo russo. Ora, TAG sta mettendo in luce le capacità estese di COLDRIVER, che includono l’uso di malware.
Evoluzione delle Tattiche di COLDRIVER
Oltre al phishing per le credenziali, COLDRIVER sta ora distribuendo malware attraverso campagne che utilizzano documenti PDF come esche. TAG ha osservato questa evoluzione da quando COLDRIVER ha iniziato ad andare oltre il phishing per le credenziali, consegnando malware tramite campagne che utilizzano PDF come documenti esca. TAG ha interrotto questa campagna aggiungendo tutti i domini e gli hash noti alle liste di blocco di Safe Browsing.
“Encrypted” Lure-Based Malware Delivery
Da novembre 2022, TAG ha osservato COLDRIVER inviare ai bersagli documenti PDF benigni da account di impersonificazione. Questi documenti vengono presentati come nuove op-ed o altri tipi di articoli che l’account di impersonificazione sta cercando di pubblicare, chiedendo feedback al bersaglio. Quando l’utente apre il PDF benigno, il testo appare criptato.
Se il bersaglio risponde che non può leggere il documento criptato, l’account di impersonificazione di COLDRIVER risponde con un link, di solito ospitato su un sito di archiviazione cloud, a un’utilità di “decrittazione” per l’utente da utilizzare. Questa utilità di decrittazione, pur visualizzando un documento esca, è in realtà un backdoor, tracciato come SPICA, che dà a COLDRIVER l’accesso alla macchina della vittima.
Backdoor SPICA
SPICA è scritto in Rust e utilizza JSON su websockets per il comando e controllo (C2). Supporta numerosi comandi, tra cui l’esecuzione di comandi shell arbitrari, il furto di cookie da Chrome, Firefox, Opera e Edge, il caricamento e lo scaricamento di file, la navigazione nel filesystem e l’enumerazione e l’esfiltrazione di documenti in un archivio.
Una volta eseguito, SPICA decodifica un PDF incorporato, lo scrive su disco e lo apre come esca per l’utente. Nel frattempo, stabilisce la persistenza e avvia il ciclo principale di C2, in attesa di eseguire i comandi.
Protezione della Comunità
Come parte degli sforzi per combattere seri attori di minacce, TAG utilizza i risultati delle sue ricerche per migliorare la sicurezza e la sicurezza dei prodotti di Google. Alla scoperta, tutti i siti web, domini e file identificati vengono aggiunti a Safe Browsing per proteggere gli utenti da ulteriori sfruttamenti. TAG invia anche a tutti gli utenti di Gmail e Workspace mirati avvisi di attaccanti supportati dal governo, informandoli dell’attività e incoraggiando i bersagli potenziali a abilitare Enhanced Safe Browsing per Chrome e assicurarsi che tutti i dispositivi siano aggiornati.
L’UE si impegna a condividere le sue scoperte con la comunità della sicurezza per sensibilizzare e con aziende e individui che potrebbero essere stati presi di mira da queste attività. Si spera che una migliore comprensione delle tattiche e delle tecniche migliori capacità di caccia alle minacce e porti a protezioni utente più forti in tutta l’industria.