De aan Rusland gelinkte dreigingsacteur bekend als KOUDE RIVIER Er is waargenomen dat het zijn vakmanschap heeft ontwikkeld om verder te gaan dan het verzamelen van inloggegevens en de allereerste aangepaste malware te leveren die is geschreven in de programmeertaal Rust.
Google’s Threat Analysis Group (TAG), die details van de nieuwste activiteiten deelde, zei dat de aanvalsketens pdf’s gebruiken als lokdocumenten om de infectiesequentie te activeren. Het kunstaas wordt verzonden vanaf nabootsingsaccounts.
COLDRIVER, ook bekend onder de namen Blue Callisto, BlueCharlie (of TAG-53), Calisto (afwisselend gespeld als Callisto), Gossamer Bear, Star Blizzard (voorheen SEABORGIUM), TA446 en UNC4057, is sinds 2019 actief en richt zich op een breed scala aan sectoren.
Dit omvat de academische wereld, defensie, overheidsorganisaties, NGO’s, denktanks, politieke organisaties en, recentelijk, defensie-industriële doelen en energiefaciliteiten.
“Doeldoelen in Groot-Brittannië en de VS lijken het meest getroffen te zijn door de activiteiten van Star Blizzard, maar er zijn ook activiteiten waargenomen tegen doelen in andere NAVO-landen en buurlanden van Rusland”, maakte de Amerikaanse regering vorige maand bekend.
Spear-phishing-campagnes die door de groep zijn opgezet, zijn ontworpen om vertrouwen te wekken en vertrouwen op te bouwen bij de potentiële slachtoffers, met als uiteindelijk doel het delen van valse inlogpagina’s om hun inloggegevens te bemachtigen en toegang te krijgen tot de accounts.
Microsoft riep in een analyse van de tactieken van de COLDRIVER het gebruik van server-side scripts aan de orde om automatisch scannen van de door actoren gecontroleerde infrastructuur te voorkomen en interessante doelen te bepalen, voordat ze naar de phishing-landingspagina’s werden doorgestuurd.
Uit de laatste bevindingen van Google TAG blijkt dat de bedreigingsacteur al in november 2022 goedaardige pdf-documenten als uitgangspunt heeft gebruikt om de doelwitten ertoe te verleiden de bestanden te openen.
“COLDRIVER presenteert deze documenten als een nieuw opiniestuk of ander soort artikel dat het imitatieaccount wil publiceren, waarbij om feedback van het doelwit wordt gevraagd”, zei de technologiegigant. “Wanneer de gebruiker de goedaardige PDF opent, lijkt de tekst gecodeerd.”
In het geval dat de ontvanger op het bericht reageert waarin staat dat hij het document niet kan lezen, reageert de bedreigingsacteur met een link naar een zogenaamde decoderingstool (“Proton-decrypter.exe”) die wordt gehost op een cloudopslagdienst.
De keuze voor de naam “Proton-decrypter.exe” valt op omdat Microsoft eerder had onthuld dat de tegenstander voornamelijk Proton Drive gebruikt om de pdf-lokmiddelen via de phishing-berichten te verzenden.
In werkelijkheid is de decryptor een achterdeur genaamd SPICA die COLDRIVER geheime toegang tot de machine verleent, terwijl tegelijkertijd een lokdocument wordt weergegeven om de list in stand te houden.
Eerdere bevindingen van WithSecure (voorheen F-Secure) hebben aangetoond dat de bedreigingsacteur gebruik maakte van een lichtgewicht achterdeur genaamd Scout, een malwaretool van het HackingTeam Remote Control System (RCS) Galileo-hackplatform, als onderdeel van phishing-campagnes die begin 2016 werden waargenomen.
Scout is “bedoeld om te worden gebruikt als een eerste verkenningstool om basissysteeminformatie en schermafbeeldingen van een gecompromitteerde computer te verzamelen, en om de installatie van aanvullende malware mogelijk te maken”, merkte het Finse cyberbeveiligingsbedrijf destijds op.
SPICA, de eerste aangepaste malware die is ontwikkeld en gebruikt door COLDRIVER, gebruikt JSON via WebSockets voor command-and-control (C2), waardoor de uitvoering van willekeurige shell-opdrachten, diefstal van cookies uit webbrowsers, het uploaden en downloaden van bestanden en het opsommen van en exfiltreren van bestanden. Doorzettingsvermogen wordt bereikt door middel van een geplande taak.
“Eenmaal uitgevoerd decodeert SPICA een ingesloten pdf, schrijft deze naar schijf en opent deze als lokmiddel voor de gebruiker”, aldus Google TAG. “Op de achtergrond zorgt het voor persistentie en start het de belangrijkste C2-lus, wachtend op de uitvoering van opdrachten.”
Er zijn aanwijzingen dat het gebruik van het implantaat door de natiestaten teruggaat tot november 2022, waarbij de cyberbeveiligingsafdeling meerdere varianten van het ‘gecodeerde’ PDF-lokmiddel kende, wat aangeeft dat er verschillende versies van SPICA zouden kunnen zijn die overeenkomen met het lokdocument. naar doelen gestuurd.
Als onderdeel van zijn inspanningen om de campagne te verstoren en verdere uitbuiting te voorkomen, zei Google TAG dat het alle bekende websites, domeinen en bestanden die verband houden met de hackers, heeft toegevoegd aan de Safe Browsing-blokkeerlijsten.
De ontwikkeling komt ruim een maand nadat de Britse en de Amerikaanse regering twee Russische leden van COLDRIVER, Ruslan Aleksandrovich Peretyatko en Andrey Stanislavovich Korinets, hebben bestraft vanwege hun betrokkenheid bij het uitvoeren van spearphishing-operaties.
Het Franse cyberbeveiligingsbedrijf Sekoia heeft sindsdien koppelingen gepubliceerd tussen Korinets en de bekende infrastructuur die door de groep wordt gebruikt, die tientallen phishing-domeinen en meerdere servers omvat.
“Calisto draagt bij aan de inspanningen van de Russische inlichtingendiensten om de strategische belangen van Moskou te ondersteunen”, aldus het bedrijf. “Het lijkt erop dat domeinregistratie er één van was [Korinets’] belangrijkste vaardigheden, die plausibel worden gebruikt door de Russische inlichtingendienst, hetzij rechtstreeks, hetzij via een contractrelatie.”
