Российская группа COLDRIVER, также известная под именами UNC4057, Star Blizzard и Callisto, расширила свою деятельность, направленную на западных чиновников, и теперь использует вредоносное ПО. Группа сосредоточилась на фишинге учетных данных высокопоставленных лиц в неправительственных организациях, бывших офицеров разведки и вооруженных сил, а также правительств стран НАТО. COLDRIVER использует парольные аккаунты, чтобы установить контакт с целью, повышая вероятность успеха фишинговой кампании, и в конечном итоге отправляет фишинговую ссылку или документ, содержащий ссылку.
Было замечено, что COLDRIVER отправляет целевым группам недоброкачественные PDF-документы с парольных учетных записей, представляя их как новую статью, которую парольная учетная запись собирается опубликовать, и прося откликов от целевых групп. Когда пользователь открывает недоброкачественный PDF-документ, текст оказывается зашифрованным. Если пользователь отвечает, что не может прочитать зашифрованный документ, то в ответ на это аккаунт, выдающий себя за COLDRIVER, высылает ему ссылку на утилиту для дешифровки, которая обычно размещается на сайте облачного хранилища. Эта утилита для расшифровки, хотя и отображает документ-обманку, на самом деле является бэкдором, отслеживаемым как SPICA, предоставляющим COLDRIVER доступ к компьютеру жертвы.
Indicators of Compromise
IPv4
- 45.133.216.15
URLs
- https://45.133.216.15:3000/ws
SHA256
- 0f6b9d2ada67cebc8c0f03786c442c61c05cef5b92641ec4c1bdd8f5baeb2ee1
- 37c52481711631a5c73a6341bd8bea302ad57f02199db7624b580058547fb5a9
- 84523ddad722e205e2d52eedfb682026928b63f919a7bf1ce6f1ad4180d0f507
- A949ec428116489f5e77cefc67fea475017e0f50d2289e17c3eb053072adcf24
- Ac270310b5410e7430fe7e36a079525cd8724b002b38e13a6ee6e09b326f4847
- C97acea1a6ef59d58a498f1e1f0e0648d6979c4325de3ee726038df1fc2e831d