در حال حاضر بیش از یک سال است که بازیگران تهدید کننده دولتی روسیه سازمانهای نظامی و دفاعی اوکراین را با استفاده از سفارشی هدف قرار دادهاند. بد افزار.
این به گفته محققان گروه تجزیه و تحلیل تهدیدات گوگل (TAG)، که بازیگران تهدید را COLDRIVER نامیده اند – با سایر تیم های امنیتی که فعالیت این گروه را دنبال می کنند، آنها را Star Blizzard، UNC4057 و Callisto می نامند.
با توجه به TAG گزارشCOLDRIVER در سال ۲۰۱۹ مشاهده شد که به دنبال اهداف نظامی، دولتی، دانشگاهی، سازمانهای غیردولتی و اهداف مشابه در غرب بود. با این حال، از اوایل سال ۲۰۲۲ و آغاز تهاجم روسیه به اوکراین، این گروه با ایجاد یک درب پشتی کاملاً جدید، تلاش های خود را افزایش داد. این درب پشتی که SPICA نام دارد، میتواند دستورات شل را اجرا کند، کوکیهای جلسه را از محبوبترین مرورگرها بدزدد، فایلها را آپلود و دانلود کند، اسناد حساس را مشاهده و استخراج کند.
کانال های توزیع شناخته شده
تیم TAG در گزارش خود که اوایل این هفته منتشر شد، گفت: “TAG مشاهده کرده است که SPICA در اوایل سپتامبر ۲۰۲۳ مورد استفاده قرار می گیرد، اما معتقدیم که استفاده COLDRIVER از درب پشتی حداقل به نوامبر ۲۰۲۲ باز می گردد.”
بیلی لئونارد از گوگل TAG گفت: به نظر می رسد که SPICA اولین بدافزار سفارشی COLDRIVER باشد و در حال توزیع برای “افراد برجسته در سازمان های غیر دولتی، مقامات اطلاعاتی و نظامی سابق، دفاع و دولت های ناتو” است. ثبت نام.
با این حال، روش توزیع یکسان است. مهاجمان میتوانند در مورد قربانی خود در رسانههای اجتماعی چه چیزی را میتوانند کشف کنند و با جعل هویت شخصی که قربانی میشناسد، با آنها تماس بگیرند. گزارش جداگانهای که توسط Five Eyes منتشر شده است، بیان میکند که مهاجمان از ایمیل برای ارائه یک پیدیاف جعلی استفاده میکنند که به نظر میرسد نسخهای است، اما باز نمیشود. هنگامی که قربانی به فرستنده پاسخ می دهد، مهاجمان یک “رمزگشا” برای فایل برمی گردانند که در واقع، درب پشتی SPICA است.
بهترین راه برای دفاع در برابر این حملات این است که مراقب ایمیل های دریافتی باشید و قبل از تعامل با پیام و پیوست های آن، هویت فرستنده را تأیید کنید.
بیشتر از TechRadar Pro
- هکرهای روسی نقص های امنیتی JetBrains TeamCity را هدف قرار می دهند
- در اینجا یک لیست از بهترین فایروال ها اطراف امروز
- اینها هستند بهترین امنیت نقطه پایانی ابزار در حال حاضر
منبع: https://www.techradar.com/pro/security/google-says-russian-espionage-crew-behind-new-malware-campaign