![Pinterest](https://pinterest.com/pin/create/button/?url=https://tl.root-nation.com/ua/news-ua/it-news-ua/ua-google-russian-hackers-using-encrypted-pdf/&media=https://tl.root-nation.com/wp-content/uploads/2022/11/hakers-logo-01.png&description=Google: "група російських державних хакерів надсилає зашифровані PDF-файли, щоб обманом змусити жертв запустити утиліту для дешифрування".){kind=link}
Sinabi ng Google na ang isang grupo ng mga hacker ng estado ng Russia ay nagpapadala ng mga naka-encrypt na PDF file upang linlangin ang mga biktima sa pagpapatakbo ng isang decryption utility na talagang malware.
Kahapon, ang kumpanya ay nag-publish ng isang post sa blog na nagdodokumento ng isang bagong taktika sa phishing ng Coldriver, isang grupo ng pag-hack na pinaghihinalaan ng US at UK na nagtatrabaho para sa gobyerno ng Russia. Isang taon na ang nakalilipas, iniulat na ang Coldriver ay nagta-target ng tatlong mga laboratoryo ng pananaliksik sa nuklear ng US. Tulad ng ibang mga hacker, sinusubukan ng Coldriver na kunin ang computer ng isang biktima sa pamamagitan ng pagpapadala ng mga mensahe sa phishing na nagtatapos sa paghahatid ng malware.
"Ang Coldriver ay madalas na gumagamit ng mga pekeng account, na nagpapanggap na isang eksperto sa isang partikular na larangan o kahit papaano ay may kaugnayan sa biktima," dagdag ng kumpanya. "Ginagamit ang pekeng account para makipag-ugnayan sa biktima, na nagpapataas ng posibilidad na maging matagumpay ang kampanya ng phishing, at sa huli ay nagpapadala ng link o dokumento ng phishing na naglalaman ng link." Para mai-install ng biktima ang malware, nagpapadala si Coldriver ng nakasulat na artikulo sa format na PDF na humihingi ng feedback. Bagama't ligtas na mabubuksan ang PDF file, mai-encrypt ang text sa loob.
"Kung ang biktima ay tumugon na hindi nila mabasa ang naka-encrypt na dokumento, ang Coldriver account ay tumugon sa isang link, kadalasan sa cloud storage, sa isang 'decryption' utility na magagamit ng biktima," sabi ng Google sa isang pahayag. "Ang decryption utility na ito, na nagpapakita rin ng pekeng dokumento, ay talagang isang backdoor."
Tinaguriang Spica, ang backdoor ay ang unang custom na malware na binuo ng Coldriver, ayon sa Google. Kapag na-install na, ang malware ay maaaring magsagawa ng mga utos, magnakaw ng cookies mula sa browser ng user, mag-upload at mag-download ng mga file, at magnakaw ng mga dokumento mula sa computer.
Sinabi ng Google na "napagmasdan nito ang paggamit ng Spica noong Setyembre 2023, ngunit naniniwala na ang Coldriver ay gumagamit ng backdoor mula noong hindi bababa sa Nobyembre 2022." May kabuuang apat na naka-encrypt na PDF decoy ang nakita, ngunit ang Google ay nakapag-extract lamang ng isang sample ng Spica, na dumating bilang isang tool na tinatawag na "Proton-decrypter.exe".
Idinagdag ng kumpanya na ang layunin ng Coldriver ay nakawin ang mga kredensyal ng mga user at grupong nauugnay sa Ukraine, NATO, mga institusyong pang-akademiko, at mga non-government na organisasyon. Para protektahan ang mga user, in-update ng kumpanya ang software ng Google para harangan ang mga pag-download mula sa mga domain na naka-link sa Coldriver phishing campaign.
Inilathala ng Google ang ulat isang buwan pagkatapos nagbabala ang mga serbisyo sa cyber ng US na ang Coldriver, na kilala rin bilang Star Blizzard, ay "patuloy na matagumpay na gumamit ng mga pag-atake ng spear phishing" upang maabot ang mga target sa UK.
"Mula noong 2019, ang Star Blizzard ay nagta-target ng mga sektor tulad ng akademya, depensa, mga organisasyon ng gobyerno, mga non-government na organisasyon, mga think tank, at mga gumagawa ng patakaran," sabi ng US Cybersecurity and Infrastructure Security Agency. "Sa panahon ng 2022, lumilitaw na lumawak pa ang aktibidad ng Star Blizzard upang isama ang mga pasilidad ng depensa at pang-industriya, pati na rin ang mga pasilidad ng US Department of Energy."
Basahin din: