COLDRIVER, иногда упоминаемый как Callisto, продолжает использовать учетные записи Gmail для рассылки фишинговых писем, содержащих учетные данные, на различные учетные записи Google и не-Google. Среди целей - правительственные и оборонные чиновники, политики, НПО и аналитические центры, а также журналисты. Тактика, методы и процедуры (ТТП) этих кампаний несколько изменились: от включения фишинговых ссылок непосредственно в электронные письма до ссылок на PDF-файлы и/или DOC-файлы, размещенные на Google Drive и Microsoft One Drive. В этих файлах содержится ссылка на контролируемый злоумышленниками фишинговый домен.
Indicators of Compromise
Domains
- cache-dns.com
- docs-shared.com
- documents-forwarding.com
- documents-preview.com
- protection-link.online
- webresources.live