Die russische Bedrohungsgruppe COLDRIVER, bekannt für Phishing-Angriffe, hat ihre Vorgehensweise weiterentwickelt und setzt nun erstmals eine selbst entwickelte Malware ein, die in der Programmiersprache Rust geschrieben ist. Dies wurde von Googles Threat Analysis Group (TAG) beobachtet, die über die neuesten Aktivitäten der Gruppe berichtet.
COLDRIVER, auch bekannt unter den Namen Blue Callisto, BlueCharlie (oder TAG-53), Calisto, Dancing Salome, Gossamer Bear, Star Blizzard (früher SEABORGIUM), TA446 und UNC4057, ist seit 2019 aktiv und zielt auf verschiedene Sektoren ab, darunter Akademie, Verteidigung, Regierungsorganisationen, NGOs, Think Tanks, politische Gruppen und in jüngster Zeit auch Verteidigungs- und Energieeinrichtungen.
Die Spear-Phishing-Kampagnen der Gruppe zielen darauf ab, Vertrauen zu potenziellen Opfern aufzubauen, um letztendlich gefälschte Anmeldeseiten zu teilen und so Zugangsdaten zu erlangen. Microsoft stellte fest, dass COLDRIVER serverseitige Skripte verwendet, um automatisierte Scans der Infrastruktur zu verhindern und gezielte Opfer zu identifizieren, bevor sie zu den Phishing-Landingpages umgeleitet werden.
Google TAG zeigt, dass COLDRIVER seit November 2022 PDF-Dokumente als Köder verwendet, um die Zielpersonen zur Öffnung der Dateien zu verleiten. Die Angreifer nutzen dabei eine Taktik, bei der sie vorgeben, einen neuen Artikel oder Kommentar veröffentlichen zu wollen und um Feedback bitten. Wenn das Opfer darauf antwortet, dass es das Dokument nicht lesen kann, reagiert der Angreifer mit einem Link zu einem vermeintlichen Entschlüsselungswerkzeug („Proton-decrypter.exe“), das auf einem Cloud-Speicherdienst gehostet wird.
In Wirklichkeit ist der „Entschlüsseler“ ein Backdoor namens SPICA, der COLDRIVER verdeckten Zugang zum System gewährt und gleichzeitig ein Ablenkungsdokument anzeigt, um die Täuschung aufrechtzuerhalten. SPICA verwendet JSON über WebSockets für Command-and-Control (C2), um Befehle auszuführen, Cookies aus Webbrowsern zu stehlen, Dateien hoch- und herunterzuladen sowie Dateien zu erfassen und zu exfiltrieren. Die Persistenz wird durch eine geplante Aufgabe erreicht.
Google TAG hat alle bekannten Websites, Domains und Dateien, die mit der Hackergruppe in Verbindung stehen, zu den Safe Browsing-Blocklisten hinzugefügt. Google vermutet, dass SPICA nur in „sehr begrenzten, gezielten Angriffen“ eingesetzt wurde, wobei der Fokus auf „hochrangigen Personen in NGOs, ehemaligen Geheimdienst- und Militärangehörigen, Verteidigungs- und NATO-Regierungen“ lag.
Die Entdeckung erfolgt einen Monat, nachdem die Regierungen des Vereinigten Königreichs und der USA zwei russische Mitglieder von COLDRIVER, Ruslan Aleksandrovich Peretyatko und Andrey Stanislavovich Korinets, für ihre Beteiligung an den Spear-Phishing-Operationen sanktioniert haben.
