Эксперты по кибербезопасности из подразделения Threat Analysis Group (TAG) заявили о серии кибератак, которую организовала хакерская группировка Cold River. Компания считает, что хакеры связаны с российскими спецслужбами.
Эксперты по кибербезопасности из подразделения Threat Analysis Group (TAG) заявили о серии кибератак, которую организовала хакерская группировка Cold River. Компания считает, что хакеры связаны с российскими спецслужбами.
Cold River также известна под названиями Callisto Group и Star Blizzard. Группировка занимается шпионскими кампаниями против западных стран, преимущественно США и Великобритании. В последние месяцы хакеры активизировались и зачастую используют фишинговую схему для кибератак. Впервые эту схему, использованную группировкой, зафиксировали в ноябре 2022 года.
Злоумышленники отправляют потенциальной жертве PDF-документ, замаскированный под статью, на которую отправитель якобы пытается получить отзыв. Жертва открывает файл, в которой текст выглядит зашифрованным. На запрос хакер отправляет ссылку на якобы утилиту для расшифровки. На самом деле это бэкдор SPICA, собственная разработка Cold River. Хакерское ПО открывает злоумышленникам постоянный доступ к компьютеру жертвы для выполнения команд, кражи документов и файлов cookie в браузере.
Google неизвестно количество жертв, скомпрометированных с помощью SPICA. Компания добавила все связанные с группировкой домены, сайты и файлы в базу службы Safe Browsing для защиты своих пользователей.
Релоцировались? Теперь вы можете комментировать без верификации аккаунта.