Киберпреступная группировка COLDRIVER, также известная как Callisto, продолжает активно распространять фишинговые письма, нацеленные на высокопоставленных чиновников, военных, политиков, представителей неправительственных организаций, аналитических центров и журналистов. По данным экспертов по кибербезопасности, злоумышленники используют изощренные методы социальной инженерии, чтобы заставить жертв раскрыть свои учетные данные.
Описание
В последнее время фишинговые кампании COLDRIVER стали еще более разнообразными. Помимо прямых ссылок в теле письма, злоумышленники активно используют облачные сервисы, такие как Google Drive и Microsoft OneDrive, для размещения вредоносных PDF- и DOC-файлов. Эти документы содержат скрытые ссылки, ведущие на поддельные страницы входа, контролируемые хакерами. Подобная тактика позволяет обходить базовые системы защиты электронной почты, поскольку файлы с облачных платформ часто воспринимаются как менее подозрительные.
Особую тревогу вызывает тот факт, что в одном из случаев, не связанном с Украиной, злоумышленникам удалось получить доступ к конфиденциальной информации через взломанную учетную запись. Это подтверждает, что группировка не только собирает данные, но и активно использует их в дальнейших атаках. Эксперты предполагают, что COLDRIVER может быть связана с государственными структурами, учитывая специфику их целей - правительственные и оборонные учреждения остаются в приоритете.
Аналитики отмечают, что фишинговые письма часто маскируются под официальные запросы от коллег или партнеров, что увеличивает вероятность успешной атаки. Например, жертве может прийти письмо с якобы важным документом, требующим срочного ознакомления. При открытии файла пользователь перенаправляется на фальшивую страницу входа, где вводит свои учетные данные, которые мгновенно попадают в руки злоумышленников.
Для защиты от подобных атак специалисты рекомендуют соблюдать базовые правила кибергигиены: никогда не переходить по ссылкам из непроверенных писем, особенно если они ведут на страницы с запросом логина и пароля. Важно использовать двухфакторную аутентификацию и регулярно проверять активность своих учетных записей. Организациям следует обучать сотрудников распознаванию фишинговых писем и внедрять системы мониторинга угроз, способные блокировать подозрительные вложения и ссылки.
Учитывая растущую активность COLDRIVER, эксперты прогнозируют дальнейшее усиление фишинговых атак, особенно в условиях геополитической нестабильности. Группировка демонстрирует высокий уровень адаптивности, меняя тактику в зависимости от действий защитных систем. Это делает ее одной из наиболее опасных угроз для государственных и частных структур, работающих с конфиденциальной информацией.
Властям и компаниям необходимо ужесточить меры кибербезопасности, так как COLDRIVER, вероятно, будет продолжать совершенствовать свои методы. В противном случае риски утечек критически важных данных и компрометации ключевых систем останутся крайне высокими.
Индикаторы компрометации
Domains
- cache-pdf.com
SHA256
- 7b95747eeea196c1485d089fa47a06bacb07d06399603d3a4fa153c21ce0a9ba
