Desde hace más de un año, los actores de amenazas patrocinados por el Estado ruso han estado atacando a las organizaciones militares y de defensa de Ucrania con armas hechas a medida. malware.
Así lo afirman investigadores de GoogleEl Grupo de Análisis de Amenazas (TAG), que denominó a los actores de amenazas COLDRIVER; otros equipos de seguridad que rastrean la actividad de este grupo los llaman Star. Tormenta de nieveUNC4057 y Calisto.
Según TAG informe, COLDRIVER fue observado en 2019, persiguiendo objetivos militares, gubernamentales, académicos, ONG y similares en Occidente. Sin embargo, desde principios de 2022 y el comienzo de la invasión rusa de Ucrania, el grupo intensificó sus esfuerzos creando una nueva puerta trasera. Esta puerta trasera, llamada SPICA, puede ejecutar comandos de shell, robar cookies de sesión de los navegadores más populares, cargar y descargar archivos, ver y filtrar documentos confidenciales.
Canales de distribución conocidos
«TAG ha observado el uso de SPICA ya en septiembre de 2023, pero cree que el uso de la puerta trasera por parte de COLDRIVER se remonta al menos a noviembre de 2022», dijo el equipo de TAG en su informe publicado a principios de esta semana.
SPICA parece ser el primer malware personalizado de COLDRIVER y se está distribuyendo a «individuos de alto perfil en ONG, ex funcionarios militares y de inteligencia, defensa y gobiernos de la OTAN», dijo Billy Leonard de Google TAG. El registro.
Sin embargo, el método de distribución sigue siendo el mismo. Los atacantes descubrirían todo lo que pudieran sobre su víctima en las redes sociales y llegarían haciéndose pasar por alguien que la víctima conoce. Un informe separado, publicado por Five Eyes, afirma que los atacantes utilizan el correo electrónico para entregar un PDF falso que parece un artículo de opinión, pero que no se puede abrir. Una vez que la víctima responde al remitente, los atacantes devuelven un «descifrador» para el archivo que, en realidad, es la puerta trasera de SPICA.
La mejor manera de defenderse contra estos ataques es tener mucho cuidado con el correo electrónico entrante y verificar la identidad del remitente antes de interactuar con el mensaje y sus archivos adjuntos.