El actor de amenazas vinculado a Rusia conocido como CONDUCTOR DE FRÍO Se ha observado que ha evolucionado su oficio para ir más allá de la recolección de credenciales y ofrecer su primer malware personalizado escrito en el lenguaje de programación Rust.
El Grupo de Análisis de Amenazas (TAG) de Google, que detalles compartidos de la última actividad, dijo que las cadenas de ataque aprovechan los archivos PDF como documentos señuelo para desencadenar la secuencia de infección. Los señuelos se envían desde cuentas de suplantación.
Se sabe que COLDRIVER, también conocido con los nombres Blue Callisto, BlueCharlie (o TAG-53), Calisto (alternativamente escrito Callisto), Gossamer Bear, Star Blizzard (anteriormente SEABORGIUM), TA446 y UNC4057, está activo desde 2019, apuntando a un amplia gama de sectores.
Esto incluye la academia, la defensa, organizaciones gubernamentales, ONG, grupos de expertos, grupos políticos y, recientemente, objetivos industriales de defensa e instalaciones energéticas.
“Los objetivos en el Reino Unido y Estados Unidos parecen haber sido los más afectados por la actividad de Star Blizzard, sin embargo, también se ha observado actividad contra objetivos en otros países de la OTAN y países vecinos de Rusia”, reveló el gobierno de Estados Unidos el mes pasado.
Las campañas de phishing lanzadas por el grupo están diseñadas para interactuar y generar confianza con las posibles víctimas con el objetivo final de compartir páginas de inicio de sesión falsas para recopilar sus credenciales y obtener acceso a las cuentas.
Microsoft, en un análisis de las tácticas de COLDRIVER, destacó su uso de scripts del lado del servidor para evitar el escaneo automatizado de la infraestructura controlada por el actor y determinar objetivos de interés, antes de redirigirlos a las páginas de inicio de phishing.
Los últimos hallazgos de Google TAG muestran que el actor de amenazas ha estado utilizando documentos PDF benignos como punto de partida ya en noviembre de 2022 para incitar a los objetivos a abrir los archivos.
“COLDRIVER presenta estos documentos como un nuevo artículo de opinión u otro tipo de artículo que la cuenta de suplantación busca publicar, solicitando comentarios del objetivo”, dijo el gigante tecnológico. “Cuando el usuario abre el PDF benigno, el texto aparece cifrado”.
En caso de que el destinatario responda al mensaje indicando que no puede leer el documento, el actor de la amenaza responde con un enlace a una supuesta herramienta de descifrado (“Proton-decrypter.exe”) alojada en un servicio de almacenamiento en la nube.
La elección del nombre “Proton-decrypter.exe” es notable porque Microsoft había revelado previamente que el adversario utiliza predominantemente Proton Drive para enviar señuelos PDF a través de mensajes de phishing.
En realidad, el descifrador es una puerta trasera llamada SPICA que otorga a COLDRIVER acceso encubierto a la máquina, al mismo tiempo que muestra un documento señuelo para continuar con la artimaña.
Hallazgos anteriores de WithSecure (anteriormente F-Secure) han revelado el uso por parte del actor de amenazas de una puerta trasera liviana llamada Scout, una herramienta de malware de la plataforma de piratería Galileo del sistema de control remoto HackingTeam (RCS), como parte de campañas de phishing observadas a principios de 2016.
Scout está “destinado a ser utilizado como una herramienta de reconocimiento inicial para recopilar información básica del sistema y capturas de pantalla de una computadora comprometida, así como permitir la instalación de malware adicional”, dijo la empresa finlandesa de ciberseguridad. anotado En el momento.
SPICA, que es el primer malware personalizado desarrollado y utilizado por COLDRIVER, utiliza JSON sobre WebSockets para comando y control (C2), facilitando la ejecución de comandos de shell arbitrarios, el robo de cookies de navegadores web, la carga y descarga de archivos y la enumeración. y exfiltrar archivos. La persistencia se logra mediante una tarea programada.
“Una vez ejecutado, SPICA decodifica un PDF incrustado, lo escribe en el disco y lo abre como señuelo para el usuario”, dijo Google TAG. “En segundo plano, establece persistencia e inicia el bucle C2 principal, esperando que se ejecuten los comandos”.
Hay evidencia que sugiere que el uso del implante por parte del actor-estado-nación se remonta a noviembre de 2022, con el brazo de ciberseguridad múltiples variantes del señuelo PDF “cifrado”, lo que indica que podría haber diferentes versiones de SPICA para coincidir con el documento del señuelo. enviado a los objetivos.
Como parte de sus esfuerzos para interrumpir la campaña y evitar una mayor explotación, Google TAG dijo que agregó todos los sitios web, dominios y archivos conocidos asociados con el equipo de piratería a Listas de bloqueo de navegación segura.
Este acontecimiento se produce más de un mes después de que los gobiernos del Reino Unido y Estados Unidos sancionaran a dos miembros rusos de COLDRIVER, Ruslan Aleksandrovich Peretyatko y Andrey Stanislavovich Korinets, por su participación en la realización de operaciones de phishing.
Desde entonces, la empresa francesa de ciberseguridad Sekoia ha publicado vínculos entre Korinets y la infraestructura conocida utilizada por el grupo, que comprende docenas de dominios de phishing y múltiples servidores.
“Calisto contribuye a los esfuerzos de inteligencia rusos para apoyar los intereses estratégicos de Moscú”, afirma la empresa. dicho. “Parece que el registro de dominio fue uno de [Korinets’] “Habilidades principales, plausiblemente utilizadas por la inteligencia rusa, ya sea directamente o a través de una relación de contratista”.