O Google afirma que o grupo de hacking ColdRiver, apoiado pelos russos, está utilizando malwares de backdoor antes desconhecidos, empregando payloads que se disfarçam como ferramenta de descriptografia de PDF.
Os atacantes enviam documentos em PDF que parecem estar criptografados por meio de emails de phishing, se passando por indivíduos afiliados aos seus alvos (uma tática observada pela primeira vez em novembro de 2022).
Quando os destinatários respondem que não conseguem ler os documentos 'criptografados', eles recebem um link para baixar o que parece ser um executável descriptografador de PDF (nomeado Proton-decrypter.exe) para visualizar o conteúdo dos documentos.
"ColdRiver apresenta esses documentos como um novo artigo de opinião ou outro tipo de artigo que a conta falsificada pretende publicar, pedindo feedback do alvo.
Quando o usuário abre o PDF benigno, o texto aparece criptografado", disse Google TAG.
No entanto, mesmo este falso software de descriptografia exibirá um documento PDF isca, ele vulnerará os dispositivos das vítimas usando uma cepa de malware chamada Spica pelos pesquisadores de segurança do Google's Threat Analysis Group (TAG), que detectaram os ataques.
Os pesquisadores acreditam que provavelmente existem múltiplas amostras de Spica correspondentes às iscas de phishing, cada uma com um documento isca diferente, embora tenham apenas conseguido capturar uma única amostra enquanto investigavam essa campanha.
O malware Spica, baseado em Rust, usa JSON sobre websockets para se comunicar com seu servidor de comando e controle (C2) e ajuda a executar comandos de shell arbitrários, roubar cookies do Chrome, Firefox, Opera e Edge, fazer upload e download de arquivos e exfiltrar documentos.
Uma vez implementado, o Spica também estabelecerá persistência usando um comando PowerShell ofuscado que criará uma tarefa agendada chamada 'CalendarChecker' nos dispositivos comprometidos.
"A TAG observou o uso do SPICA desde setembro de 2023, mas acredita que o uso do backdoor pelo COLDRIVER remonta pelo menos a novembro de 2022", disse Google TAG.
"Enquanto TAG observou quatro variantes diferentes do PDF inicial 'criptografado', só fomos capazes de recuperar uma única instância de SPICA."
O Google adicionou todos os domínios, sites e arquivos usados nesses ataques ao seu serviço de proteção contra phishing Safe Browsing e notificou todos os usuários do Gmail e Workspace direcionados de que foram alvos de um ataque patrocinado pelo governo.
Também rastreada como Callisto Group, Seaborgium e Star Blizzard, a ColdRiver está ativa desde o final de 2015 e é conhecida pelas habilidades de seus operadores em inteligência de código aberto (OSINT) e engenharia social usadas para pesquisar e atrair alvos em ataques de spear-phishing.
Em dezembro, o Reino Unido e os aliados Five Eyes ligaram a ColdRiver à divisão 'Centre 18' do Serviço de Segurança Federal (FSB) da Rússia, o serviço de segurança interna e contra inteligência do país.
Anteriormente, a Microsoft frustrou ataques da ColdRiver direcionados a várias nações da OTAN na Europa, desativando as contas da Microsoft usadas pelos atacantes para vigilância e coleta de emails.
Desde dezembro de 2023, o Departamento de Estado dos EUA vem oferecendo recompensas de até 10 milhões de dólares por informações que possam levar à localização ou identificação dos atores da ameaça ColdRiver.
Publicidade
O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...