Googleによると、ロシア国家ハッカーのグループが暗号化されたPDFファイルを送信し、被害者を騙して実際にはマルウェアである復号ユーティリティを実行させているという。
昨日同社は、米国と英国がロシア政府のために働いていると疑っているハッカー集団Coldriverによる新たなフィッシング戦術を文書化したブログ投稿を公開した。 1年前、コールドドライバーが米国の3つの原子力研究所を標的にしたと報じられた。他のハッカーと同様に、Coldriver はフィッシング メッセージを送信して被害者のコンピュータを乗っ取ろうとし、最終的にはマルウェアを送り込みます。
「コールドドライバーは特定の分野の専門家、または被害者と何らかの関係があるふりをして、偽のアカウントを頻繁に使用します」と同社は付け加えた。 「その後、偽のアカウントが被害者との連絡に使用され、フィッシングキャンペーンが成功する可能性が高まり、最終的にはフィッシングリンクまたはリンクを含む文書が送信されます。」被害者にマルウェアをインストールさせるために、Colddriver はフィードバックを求める記事を PDF 形式で送信します。 PDF ファイルは安全に開くことができますが、内部のテキストは暗号化されます。
Googleは声明で、「被害者が暗号化された文書を読めないと返答すると、Coldriverアカウントは通常クラウドストレージ上にある、被害者が使用できる『復号』ユーティリティへのリンクを返信する」と述べた。 「この復号ユーティリティは偽の文書も表示しますが、実際にはバックドアです。」
Google によると、Spica と呼ばれるこのバックドアは、Coldriver が開発した最初のカスタム マルウェアです。マルウェアはインストールされると、コマンドを実行し、ユーザーのブラウザから Cookie を盗み、ファイルをアップロードおよびダウンロードし、コンピュータからドキュメントを盗むことができます。
Googleは「Spicaの使用を2023年2022月まで遡って観察したが、Colddriverは少なくとも年月からバックドアを使用していたと考えている」と述べている。合計 つの暗号化された PDF おとりが検出されましたが、Google が抽出できたのは、「Proton-decrypter.exe」というツールとして提供されていた Spica サンプル つだけでした。
同社は、Coldriver の目的は、ウクライナ、NATO、学術機関、非政府組織に関連するユーザーやグループの認証情報を盗むことであったと付け加えています。ユーザーを保護するために、同社は Google ソフトウェアを更新し、Coldriver フィッシング キャンペーンにリンクされたドメインからのダウンロードをブロックしました。
Star Blizzardとしても知られるColdriverが英国のターゲットを攻撃するために「スピアフィッシング攻撃をうまく利用し続けている」と米国のサイバーサービスが警告した1カ月後、Googleはこの報告書を発表した。
米国サイバーセキュリティ・インフラセキュリティ庁は、「2019年からスターブリザードは学界、防衛、政府機関、非政府組織、シンクタンク、政策立案者などのセクターを標的にした」と述べた。 「2022年中、スターブリザードの活動はさらに拡大し、防衛施設や産業施設、さらには米国エネルギー省の施設も含まれるようだ。」
また読む: