![Pinterest](https://pinterest.com/pin/create/button/?url=https://zh-tw.root-nation.com/ua/news-ua/it-news-ua/ua-google-russian-hackers-using-encrypted-pdf/&media=https://zh-tw.root-nation.com/wp-content/uploads/2022/11/hakers-logo-01.png&description=Google: "група російських державних хакерів надсилає зашифровані PDF-файли, щоб обманом змусити жертв запустити утиліту для дешифрування".){kind=link}
谷歌表示,一群俄羅斯國家駭客正在發送加密的 PDF 文件,以誘騙受害者運行實際上是惡意軟體的解密實用程式。
昨天,該公司發布了一篇部落格文章,記錄了 Coldriver 的新網路釣魚策略,美國和英國懷疑該駭客組織為俄羅斯政府工作。一年前,有報告指出科爾德沃襲擊了美國三個核子研究實驗室。與其他駭客一樣,Coldriver 試圖透過發送網路釣魚訊息來接管受害者的計算機,這些訊息最終會傳播惡意軟體。
該公司補充說:“Coldriver 經常使用虛假帳戶,冒充某個領域的專家或以某種方式與受害者相關。” “然後使用虛擬帳戶聯繫受害者,這增加了網絡釣魚活動成功的可能性,並最終發送網絡釣魚鏈接或包含該鏈接的文檔。”為了讓受害者安裝惡意軟體,Coldriver 發送了 PDF 格式的書面文章尋求回饋。雖然PDF文件可以安全打開,但裡面的文字會被加密。
谷歌在一份聲明中表示:“如果受害者回答說他們無法讀取加密文檔,Coldriver 帳戶就會回復一個連結(通常在雲端存儲上),指向受害者可以使用的‘解密’實用程式。” “這個解密實用程式還顯示虛假文檔,實際上是一個後門。”
據谷歌稱,該後門被稱為 Spica,是 Coldriver 開發的第一個客製化惡意軟體。安裝後,惡意軟體可以執行命令、從使用者瀏覽器竊取 cookie、上傳和下載檔案以及從電腦竊取文件。
谷歌表示,它“早在 2023 年 2022 月就觀察到了 Spica 的使用,但認為 Coldriver 至少從 年 月起就一直在使用後門。”總共檢測到了四個加密的 PDF 誘餌,但Google僅提取了一個 Spica 樣本,該樣本是一種名為「Proton-decrypter.exe」的工具。
該公司補充說,Coldriver 的目標是竊取與烏克蘭、北約、學術機構和非政府組織相關的用戶和團體的憑證。為了保護用戶,該公司更新了 Google 軟體,以阻止來自與 Coldriver 網路釣魚活動連結的網域的下載。
一個月前,美國網路服務部門警告 Coldriver(又名 Star Blizzard)「繼續成功地利用魚叉式網路釣魚攻擊」攻擊英國目標,一個月後,Google發布了該報告。
美國網路安全和基礎設施安全局表示:“從 2019 年開始,星際暴雪的目標包括學術界、國防、政府組織、非政府組織、智囊團和政策制定者等部門。” “2022 年,星際暴雪的活動似乎進一步擴大,包括國防和工業設施,以及美國能源部設施。”
另請閱讀: