In einer Studie, die die Threat Analysis Group (TAG) von Google mit Tech geteilt hat, haben Forscher beobachtet Kalter Fluss hat in den letzten Monaten seine Aktivitäten verstärkt und neue Taktiken eingesetzt, die bei den Opfern noch mehr Unruhe hervorrufen können. Der Bericht behauptet, dass die Gruppe hauptsächlich auf gezielte Angriffe abzielt Ukraine und sein NATO Verbündete sowie akademische Institutionen und Nichtregierungsorganisationen.
Letzten Monat berichteten die Forscher von Microsoft außerdem, dass die mit Russland verbündete Hackergruppe ihre Fähigkeit verbessert habe, einer Entdeckung zu entgehen.
Wie Hacker PDFs nutzen, um Malware zu verbreiten
TAG-Forscher sagten, dass Cold River weiterhin über seine übliche Taktik des Phishings nach Zugangsdaten hinausgegangen sei. Die Gruppe ist nun in der Lage, mithilfe von Kampagnen Malware zu verbreiten PDF Dokumente als Lockmittel.
Berichten zufolge haben die Forscher behauptet, dass Cold River diese PDF-Dokumente seit November 2022 an seine Zielpersonen liefert. Die Gruppe gibt diese Dokumente getarnt als meinungsredaktionellen Artikel oder eine andere Art von Artikel weiter und bittet ihre Zielpersonen, ihr Feedback dazu mitzuteilen ihnen.
Immer wenn das Opfer das infizierte PDF öffnet, erscheint der Text so, als wäre er verschlüsselt. Wenn das Ziel antwortet, dass es das Dokument nicht lesen kann, sendet der Hacker einen Link zu einem „Entschlüsselungs“-Dienstprogramm. Google-Forscher haben gewarnt, dass es sich hierbei um eine benutzerdefinierte Hintertür handelt, die als „SPICA“ verfolgt wird.
Dem Bericht zufolge handelt es sich bei dieser Hintertür um die erste benutzerdefinierte Malware, die von Cold River entwickelt und verwendet wird. Diese Malware bietet den Angreifern weiterhin Zugriff auf den Computer des Opfers, um Befehle auszuführen und Browser-Cookies sowie Dokumente zu stehlen.
Billy Leonard, ein Sicherheitsingenieur bei TAG, sagte, dass Google derzeit nicht weiß, wie viele Opfer mit SPICA kompromittiert wurden. Das Unternehmen glaubt jedoch daran SPICA wurde nur bei „sehr begrenzten, gezielten Angriffen“ eingesetzt.
Leonard fügte hinzu, dass sich die Malware wahrscheinlich noch in der aktiven Entwicklung befinde und bei laufenden Angriffen eingesetzt werde. Er sagte auch, dass die Aktivitäten in Cold River trotz der Maßnahmen der Strafverfolgungsbehörden „in den letzten Jahren ziemlich konstant geblieben seien“.
Nach der Entdeckung der Cold River-Malware-Kampagne behauptet Google, alle identifizierten Websites, Domains und Dateien zu ihr hinzugefügt zu haben Sicheres Surfen Service. Es wird erwartet, dass die Kampagne dadurch daran gehindert wird, weitere Google-Nutzer anzusprechen.
Die Times of India Gadgets Now-Auszeichnungen: Geben Sie jetzt Ihre Stimme ab und wählen Sie die besten Telefone, Laptops und anderen Gadgets des Jahres 2023 aus.