L’acteur menaçant lié à la Russie, connu sous le nom de COLDRIVER a été observé en train d’évoluer pour aller au-delà de la collecte d’informations d’identification et proposer son tout premier malware personnalisé écrit dans le langage de programmation Rust.
Le Threat Analysis Group (TAG) de Google, qui détails partagés de la dernière activité, a déclaré que les chaînes d’attaque exploitent les PDF comme documents leurres pour déclencher la séquence d’infection. Les leurres sont envoyés à partir de comptes d’usurpation d’identité.
COLDRIVER, également connu sous les noms de Blue Callisto, BlueCharlie (ou TAG-53), Calisto (alternativement orthographié Callisto), Gossamer Bear, Star Blizzard (anciennement SEABORGIUM), TA446 et UNC4057, est connu pour être actif depuis 2019, ciblant un large gamme de secteurs.
Cela inclut le monde universitaire, la défense, les organisations gouvernementales, les ONG, les groupes de réflexion, les groupes politiques et, récemment, les cibles industrielles de défense et les installations énergétiques.
« Les cibles au Royaume-Uni et aux États-Unis semblent avoir été les plus touchées par l’activité de Star Blizzard, mais des activités ont également été observées contre des cibles dans d’autres pays de l’OTAN et dans des pays voisins de la Russie », a révélé le gouvernement américain le mois dernier.
Les campagnes de spear phishing organisées par le groupe sont conçues pour engager et renforcer la confiance avec les victimes potentielles dans le but ultime de partager de fausses pages de connexion afin de récolter leurs informations d’identification et d’accéder aux comptes.
Microsoft, dans une analyse des tactiques de COLDRIVER, a souligné son utilisation de scripts côté serveur pour empêcher l’analyse automatisée de l’infrastructure contrôlée par les acteurs et déterminer les cibles d’intérêt, avant de les rediriger vers les pages de destination de phishing.
Les dernières découvertes de Google TAG montrent que l’acteur malveillant a utilisé des documents PDF inoffensifs comme point de départ dès novembre 2022 pour inciter les cibles à ouvrir les fichiers.
« COLDRIVER présente ces documents comme un nouvel article d’opinion ou un autre type d’article que le compte d’usurpation d’identité cherche à publier, sollicitant les commentaires de la cible », a déclaré le géant de la technologie. « Lorsque l’utilisateur ouvre le PDF inoffensif, le texte apparaît crypté. »
Dans le cas où le destinataire répond au message indiquant qu’il ne peut pas lire le document, l’acteur malveillant répond avec un lien vers un prétendu outil de décryptage (« Proton-decrypter.exe ») hébergé sur un service de stockage cloud.
Le choix du nom « Proton-decrypter.exe » est remarquable car Microsoft avait précédemment révélé que l’adversaire utilisait principalement Proton Drive pour envoyer les leurres PDF via les messages de phishing.
En réalité, le décrypteur est une porte dérobée nommée SPICA qui accorde à COLDRIVER un accès secret à la machine, tout en affichant simultanément un document leurre pour maintenir la ruse.
Des découvertes antérieures de WithSecure (anciennement F-Secure) ont révélé l’utilisation par l’acteur malveillant d’une porte dérobée légère appelée Scout, un outil malveillant de la plateforme de piratage Galileo HackingTeam Remote Control System (RCS), dans le cadre de campagnes de phishing observées début 2016.
Scout est « destiné à être utilisé comme un outil de reconnaissance initial pour recueillir des informations de base sur le système et des captures d’écran d’un ordinateur compromis, ainsi que pour permettre l’installation de logiciels malveillants supplémentaires », a déclaré la société finlandaise de cybersécurité. noté à l’époque.
SPICA, qui est le premier malware personnalisé développé et utilisé par COLDRIVER, utilise JSON sur WebSockets pour le commandement et le contrôle (C2), facilitant l’exécution de commandes shell arbitraires, le vol de cookies à partir de navigateurs Web, le téléchargement et le téléchargement de fichiers et l’énumération. et exfiltration de fichiers. La persistance est obtenue au moyen d’une tâche planifiée.
« Une fois exécuté, SPICA décode un PDF intégré, l’écrit sur le disque et l’ouvre comme un leurre pour l’utilisateur », a déclaré Google TAG. « En arrière-plan, il établit la persistance et démarre la boucle principale C2, en attendant l’exécution des commandes. »
Il existe des preuves suggérant que l’utilisation de l’implant par l’acteur étatique remonte à novembre 2022, avec le service de cybersécurité plusieurs variantes du leurre PDF « crypté », indiquant qu’il pourrait y avoir différentes versions de SPICA pour correspondre au document de leurre. envoyés aux cibles.
Dans le cadre de ses efforts pour perturber la campagne et empêcher toute exploitation ultérieure, Google TAG a déclaré avoir ajouté tous les sites Web, domaines et fichiers connus associés à l’équipe de piratage informatique. Listes de blocage de la navigation sécurisée.
Cette évolution intervient plus d’un mois après que les gouvernements britannique et américain ont sanctionné deux membres russes de COLDRIVER, Ruslan Aleksandrovich Peretyatko et Andrey Stanislavovich Korinets, pour leur implication dans la conduite des opérations de spear phishing.
La société française de cybersécurité Sekoia a depuis rendu public les liens entre Korinets et l’infrastructure connue utilisée par le groupe, qui comprend des dizaines de domaines de phishing et plusieurs serveurs.
« Calisto contribue aux efforts des services de renseignement russes pour soutenir les intérêts stratégiques de Moscou », affirme la société dit. « Il semble que l’enregistrement de domaine ait été l’un des [Korinets’] principales compétences, vraisemblablement utilisées par les renseignements russes, soit directement, soit par le biais d’une relation contractuelle.