Se ha observado que el actor de amenazas vinculado a Rusia conocido como COLDRIVER está evolucionando su oficio para ir más allá de la recolección de credenciales y entregar su primer malware personalizado escrito en el lenguaje de programación Rust.
El Grupo de Análisis de Amenazas (TAG) de Google, que compartió detalles de la actividad más reciente, dijo que las cadenas de ataque aprovechan los archivos PDF como documentos señuelo para desencadenar la secuencia de infección. Los señuelos se envían desde cuentas de suplantación.
Se sabe que COLDRIVER, también conocido con los nombres Blue Callisto, BlueCharlie (o TAG-53), Calisto (deletreado alternativamente Callisto), Dancing Salome, Gossamer Bear, Star Blizzard (anteriormente SEABORGIUM), TA446 y UNC4057, está activo desde 2019. , dirigidos a una amplia gama de sectores.
Esto incluye la academia, la defensa, organizaciones gubernamentales, ONG, grupos de expertos, grupos políticos y, recientemente, objetivos industriales de defensa e instalaciones energéticas.
«Los objetivos en el Reino Unido y Estados Unidos parecen haber sido los más afectados por la actividad de Star Blizzard, sin embargo, también se ha observado actividad contra objetivos en otros países de la OTAN y países vecinos de Rusia», reveló el gobierno de Estados Unidos el mes pasado.
Las campañas de phishing lanzadas por el grupo están diseñadas para interactuar y generar confianza con las posibles víctimas con el objetivo final de compartir páginas de inicio de sesión falsas para recopilar sus credenciales y obtener acceso a las cuentas.
Microsoft, en un análisis de las tácticas de COLDRIVER, destacó su uso de scripts del lado del servidor para evitar el escaneo automatizado de la infraestructura controlada por el actor y determinar objetivos de interés, antes de redirigirlos a las páginas de inicio de phishing.
Los últimos hallazgos de Google TAG muestran que el actor de amenazas ha estado utilizando documentos PDF benignos como punto de partida ya en noviembre de 2022 para incitar a los objetivos a abrir los archivos.
«COLDRIVER presenta estos documentos como un nuevo artículo de opinión u otro tipo de artículo que la cuenta de suplantación busca publicar, solicitando comentarios del objetivo», dijo el gigante tecnológico. «Cuando el usuario abre el PDF benigno, el texto aparece cifrado».
En caso de que el destinatario responda al mensaje indicando que no puede leer el documento, el actor de la amenaza responde con un enlace a una supuesta herramienta de descifrado («Proton-decrypter.exe») alojada en un servicio de almacenamiento en la nube.
La elección del nombre «Proton-decrypter.exe» es notable porque Microsoft había revelado previamente que el adversario utiliza predominantemente Proton Drive para enviar señuelos PDF a través de mensajes de phishing.
Los investigadores de Google TAG dijeron a The Hacker News que el documento PDF empleado en el ataque estaba alojado en Proton Drive y que los atacantes dicen que la herramienta se utiliza para descifrar el archivo alojado en la plataforma en la nube.
En realidad, el descifrador es una puerta trasera llamada SPICA que otorga a COLDRIVER acceso encubierto a la máquina, al mismo tiempo que muestra un documento señuelo para continuar con la artimaña.
Hallazgos anteriores de WithSecure (anteriormente F-Secure) han revelado el uso por parte del actor de amenazas de una puerta trasera liviana llamada Scout, una herramienta de malware de la plataforma de piratería Galileo del sistema de control remoto HackingTeam (RCS), como parte de campañas de phishing observadas a principios de 2016.
Scout está «destinado a ser utilizado como una herramienta de reconocimiento inicial para recopilar información básica del sistema y capturas de pantalla de una computadora comprometida, así como permitir la instalación de malware adicional», señaló en ese momento la compañía finlandesa de ciberseguridad.
SPICA, que es el primer malware personalizado desarrollado y utilizado por COLDRIVER, utiliza JSON sobre WebSockets para comando y control (C2), lo que facilita la ejecución de comandos de shell arbitrarios, el robo de cookies de los navegadores web, la carga y descarga de archivos y la enumeración. y exfiltrar archivos. La persistencia se logra mediante una tarea programada.
«Una vez ejecutado, SPICA decodifica un PDF incrustado, lo escribe en el disco y lo abre como señuelo para el usuario», dijo Google TAG. «En segundo plano, establece persistencia e inicia el bucle C2 principal, esperando que se ejecuten los comandos».
Hay evidencia que sugiere que el uso del implante por parte del actor-estado-nación se remonta a noviembre de 2022, con el brazo de ciberseguridad múltiples variantes del señuelo PDF «cifrado», lo que indica que podría haber diferentes versiones de SPICA para coincidir con el documento del señuelo. enviado a los objetivos.
Como parte de sus esfuerzos para interrumpir la campaña y evitar una mayor explotación, Google TAG dijo que agregó todos los sitios web, dominios y archivos conocidos asociados con el equipo de piratería a las listas de bloqueo de Navegación Segura .
Google dijo que no tiene visibilidad del número de víctimas que fueron comprometidas con éxito con SPICA, pero sospecha que sólo se utilizó en «ataques dirigidos muy limitados», añadiendo que se ha centrado en «individuos de alto perfil en ONG, ex y funcionarios militares, defensa y gobiernos de la OTAN».
Este acontecimiento se produce más de un mes después de que los gobiernos del Reino Unido y Estados Unidos sancionaran a dos miembros rusos de COLDRIVER, Ruslan Aleksandrovich Peretyatko y Andrey Stanislavovich Korinets, por su participación en la realización de operaciones de phishing.
Desde entonces, la empresa francesa de ciberseguridad Sekoia ha publicado vínculos entre Korinets y la infraestructura conocida utilizada por el grupo, que comprende docenas de dominios de phishing y múltiples servidores.
«Calisto contribuye a los esfuerzos de inteligencia rusos para apoyar los intereses estratégicos de Moscú», afirmó la empresa . «Parece que el registro de dominios era una de las principales habilidades [de Korinets], posiblemente utilizada por la inteligencia rusa, ya sea directamente o a través de una relación de contratista».
Fuente y redacción: thehackernews.com