Google, ColdRiver Rusya destekli bilgisayar korsanlığı grubunun, PDF şifre çözme aracı kılığına giren yükleri kullanarak daha önce bilinmeyen arka kapı kötü amaçlı yazılımlarını dağıttığını söylüyor.
Saldırganlar, hedefleriyle bağlantılı kişilerin kimliğine bürünen kimlik avı e-postaları aracılığıyla şifrelenmiş gibi görünen PDF belgeleri gönderiyor (ilk olarak Kasım 2022’de gözlemlenen bir taktik).
Alıcılar ‘şifreli’ belgeleri okuyamadıklarını söylediklerinde, yem belgelerinin içeriğini görüntülemek için PDF şifre çözücü yürütülebilir dosyasına (Proton-decrypter.exe adı verilen) benzeyen bir dosyayı indirmeleri için bir bağlantı gönderilir.
Google TAG, “COLDRIVER, bu belgeleri, kimliğe bürünme hesabının yayınlamayı düşündüğü yeni bir köşe yazısı veya başka türde bir makale olarak sunuyor ve hedeften geri bildirim istiyor. Kullanıcı, zararsız PDF’yi açtığında, metin şifrelenmiş görünüyor.” dedi.
Bununla birlikte, bu sahte şifre çözme yazılımı, sahte bir PDF belgesi gösterse de, saldırıları tespit eden Google’ın Tehdit Analiz Grubu (TAG) ile birlikte güvenlik araştırmacıları tarafından Spica olarak adlandırılan bir kötü amaçlı yazılım türünü kullanarak kurbanların cihazlarına arka kapı açacak.
Araştırmacılar, bu kampanyayı araştırırken yalnızca tek bir örnek yakalayabildikleri halde, her biri farklı bir tuzak belgesine sahip olan, kimlik avı tuzaklarıyla eşleşen birden fazla Spica örneğinin muhtemelen olduğuna inanıyor.
Spica Rust tabanlı kötü amaçlı yazılım, komut ve kontrol (C2) sunucusuyla iletişim kurmak için web yuvaları üzerinden JSON’u kullanıyor ve isteğe bağlı kabuk komutlarının çalıştırılmasına, Chrome, Firefox, Opera ve Edge çerezlerinin çalınmasına, dosya yüklenip indirilmesine ve belgeleri sızdırmak.
Spica, konuşlandırıldıktan sonra, ele geçirilen cihazlarda ‘CalendarChecker’ zamanlanmış görevi oluşturacak, gizlenmiş bir PowerShell komutunu kullanarak kalıcılık da oluşturacak.
Google TAG, “TAG, SPICA’nın Eylül 2023 gibi erken bir tarihte kullanıldığını gözlemledi, ancak COLDRIVER’ın arka kapı kullanımının en az Kasım 2022’ye kadar uzandığına inanıyor.” dedi.
“TAG, başlangıçtaki “şifreli” PDF yeminin dört farklı varyantını gözlemlese de, SPICA’nın yalnızca tek bir örneğini başarıyla almayı başardık.”
Devlet destekli saldırı uyarıları
Google, bu saldırılarda kullanılan tüm alanları, web sitelerini ve dosyaları Güvenli Tarama kimlik avı koruması hizmetine ekledi ve hedeflenen tüm Gmail ve Workspace kullanıcılarına, devlet destekli bir saldırının hedefi olduklarını bildirdi.
Callisto Group, Seaborgium ve Star Blizzard olarak da takip edilen ColdRiver, 2015’in sonlarından beri aktiftir ve operatörlerinin açık kaynak istihbaratı (OSINT) ve hedef odaklı kimlik avı saldırılarında hedefleri araştırmak ve cezbetmek için kullanılan sosyal mühendislik becerileriyle tanınmaktadır. .
Aralık ayında Birleşik Krallık ve Beş Göz müttefikleri ColdRiver’ı Rusya’nın iç güvenlik ve karşı istihbarat servisi olan ‘Merkez 18’ Federal Güvenlik Servisi (FSB) bölümüne bağladı.
Daha önce Microsoft, saldırganların gözetim ve e-posta toplamak için kullandıkları Microsoft hesaplarını devre dışı bırakarak birçok Avrupa NATO ülkesini hedef alan ColdRiver saldırılarını engellemişti.
Aralık 2023’ten bu yana ABD Dışişleri Bakanlığı, ColdRiver tehdit aktörlerinin yerini veya kimliğini tespit etmeye yol açabilecek bilgiler için 10 milyon dolara kadar ödül teklif ediyor.