![pinterest](https://pinterest.com/pin/create/button/?url=https://hu.root-nation.com/ua/news-ua/it-news-ua/ua-google-russian-hackers-using-encrypted-pdf/&media=https://hu.root-nation.com/wp-content/uploads/2022/11/hakers-logo-01.png&description=Google: "група російських державних хакерів надсилає зашифровані PDF-файли, щоб обманом змусити жертв запустити утиліту для дешифрування".){kind=link}
A Google szerint orosz állami hackerek egy csoportja titkosított PDF fájlokat küld, hogy rávegye az áldozatokat egy olyan dekódoló segédprogram futtatására, amely valójában rosszindulatú program.
Tegnap a cég közzétett egy blogbejegyzést, amely a Coldriver új adathalász taktikáját dokumentálja, egy hackercsoport, amelyről az Egyesült Államok és az Egyesült Királyság azt gyanítja, hogy az orosz kormánynak dolgozik. Egy évvel ezelőtt arról számoltak be, hogy a Coldriver három amerikai nukleáris kutatólaboratóriumot vett célba. Más hackerekhez hasonlóan a Coldriver is megpróbálja átvenni az uralmat az áldozat számítógépén adathalász üzenetek küldésével, amelyek végül rosszindulatú programokat küldenek.
"A Coldriver gyakran használ hamis fiókokat, és úgy tesz, mintha egy bizonyos terület szakértője lenne, vagy valamilyen kapcsolatban állna az áldozattal" - tette hozzá a cég. "A hamis fiókot ezután az áldozattal való kapcsolatfelvételre használják, ami növeli az adathalász kampány sikerességének valószínűségét, és végül elküldi a linket tartalmazó adathalász linket vagy dokumentumot." Annak érdekében, hogy az áldozat telepítse a kártevőt, a Coldriver írásos cikket küld PDF formátumban, amelyben visszajelzést kér. Bár a PDF fájl biztonságosan megnyitható, a benne lévő szöveg titkosítva lesz.
"Ha az áldozat azt válaszolja, hogy nem tudja elolvasni a titkosított dokumentumot, a Coldriver-fiók egy hivatkozással válaszol, általában a felhőalapú tárhelyen, egy "dekódoló" segédprogramra, amelyet az áldozat használhat" - áll a Google közleményében. "Ez a visszafejtő segédprogram, amely egy hamis dokumentumot is megjelenít, valójában egy hátsó ajtó."
A Spica névre keresztelt hátsó ajtó a Google szerint az első egyéni kártevő, amelyet a Coldriver fejlesztett ki. A telepítést követően a kártevő parancsokat hajthat végre, cookie-kat lophat el a felhasználó böngészőjéből, fájlokat tölthet fel és tölthet le, valamint dokumentumokat lophat el a számítógépről.
A Google kijelenti, hogy "már 2023 szeptemberében megfigyelték a Spica használatát, de úgy vélik, hogy a Coldriver legalább 2022 novembere óta használja a hátsó ajtót". Összesen négy titkosított PDF csalit észleltek, de a Google-nak csak egy Spica-mintát sikerült kivonnia, amely a „Proton-decrypter.exe” nevű eszköz volt.
A cég hozzáteszi, hogy a Coldriver célja az volt, hogy ellopja az Ukrajnával, a NATO-val, a tudományos intézményekkel és a nem kormányzati szervezetekkel kapcsolatban álló felhasználók és csoportok hitelesítő adatait. A felhasználók védelme érdekében a vállalat frissítette a Google szoftverét, hogy blokkolja a letöltéseket a Coldriver adathalászati kampányhoz kapcsolódó domainekről.
A Google egy hónappal azután tette közzé a jelentést, hogy az amerikai kiberszolgáltatások arra figyelmeztettek, hogy a Coldriver, más néven Star Blizzard "továbbra is sikeresen alkalmaz lándzsás adathalász támadásokat" az Egyesült Királyságban található célpontok eltalálására.
"2019-től a Star Blizzard olyan szektorokat célzott meg, mint az akadémia, a védelem, a kormányzati szervezetek, a nem kormányzati szervezetek, az agytrösztök és a politikai döntéshozók" - közölte az Egyesült Államok Kiberbiztonsági és Infrastruktúrabiztonsági Ügynöksége. "2022 folyamán a Star Blizzard tevékenysége a jelek szerint még tovább bővült, és magában foglalja a védelmi és ipari létesítményeket, valamint az Egyesült Államok Energiaügyi Minisztériumának létesítményeit."
Olvassa el még: