Desde o início do ano, o grupo de hackers ColdRiver, apoiado pelo estado russo, tem utilizado o novo malware LostKeys para roubar arquivos em ataques de espionagem visando governos ocidentais, jornalistas, think tanks e organizações não governamentais.
Em dezembro, o Reino Unido e os aliados do Five Eyes vincularam o ColdRiver ao Serviço Federal de Segurança (FSB) da Rússia, o serviço de contraespionagem e segurança interna do país.
O Google Threat Intelligence Group (GTIG) observou pela primeira vez o LostKeys sendo "implantado em casos altamente seletivos" em janeiro, como parte de ataques de engenharia social ClickFix, onde os atores de ameaças enganam os alvos para executar scripts maliciosos do PowerShell.
Executar esses scripts faz o download e executa payloads adicionais do PowerShell nos dispositivos das vítimas, terminando com um malware de roubo de dados em Visual Basic Script (VBS), rastreado pelo Google como LostKeys.
"LOSTKEYS é capaz de roubar arquivos de uma lista pré-definida de extensões e diretórios, além de enviar informações do sistema e processos em execução para o atacante", disse o GTIG.
O comportamento típico de COLDRIVER é roubar credenciais e, em seguida, usá-las para roubar e-mails e contatos do alvo, mas como já documentamos anteriormente, eles também implantarão o malware chamado SPICA em alvos selecionados se quiserem acessar documentos no sistema alvo.
LOSTKEYS é projetado para alcançar um objetivo semelhante e é implantado apenas em casos altamente seletivos.
ColdRiver não é o único grupo de ameaça apoiado pelo estado a hackear os dispositivos de seus alvos em ataques ClickFix, com Kimsuky (Coreia do Norte), MuddyWater (Irã), APT28 e UNK_RemoteRogue (Rússia) tendo todos usado estas mesmas táticas em campanhas de espionagem nos últimos meses.
Também rastreado como Star Blizzard, Callisto Group e Seaborgium, o grupo de hackers ColdRiver tem usado habilidades de engenharia social e inteligência de fontes abertas (OSINT) para pesquisar e atrair alvos desde pelo menos 2017.
Agências de cibersegurança do Five Eyes também alertaram em dezembro de 2023 sobre os ataques de spear-phishing do ColdRiver contra organizações governamentais, ONGs e políticos de defesa, meses após a Rússia invadir a Ucrânia, e esses ataques também se expandiram para visar alvos da indústria de defesa e instalações do Departamento de Energia dos EUA.
Em 2022, o Microsoft Threat Intelligence Center (MSTIC) interrompeu outra operação de engenharia social do ColdRiver, onde os atacantes usaram contas da Microsoft para colher e-mails e monitorar a atividade de organizações e indivíduos de alto perfil nos países da OTAN.
O Departamento de Estado dos EUA sancionou dois operadores do ColdRiver (um deles um oficial do FSB) em dezembro de 2023, que também foram indiciados pelo Departamento de Justiça dos EUA por seu envolvimento em uma campanha de hacking global coordenada pelo governo russo.
O Departamento de Estado agora oferece recompensas de até US$ 10 milhões por dicas que possam ajudar as autoridades policiais a localizar ou identificar outros membros do ColdRiver.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...