![Pinterest](https://pinterest.com/pin/create/button/?url=https://th.root-nation.com/ua/news-ua/it-news-ua/ua-google-russian-hackers-using-encrypted-pdf/&media=https://th.root-nation.com/wp-content/uploads/2022/11/hakers-logo-01.png&description=Google: "група російських державних хакерів надсилає зашифровані PDF-файли, щоб обманом змусити жертв запустити утиліту для дешифрування".){kind=link}
Google กล่าวว่ากลุ่มแฮกเกอร์ของรัฐรัสเซียกำลังส่งไฟล์ PDF ที่เข้ารหัสเพื่อหลอกให้เหยื่อเรียกใช้โปรแกรมถอดรหัสที่เป็นมัลแวร์จริงๆ
เมื่อวานนี้ บริษัทได้เผยแพร่บล็อกโพสต์ที่บันทึกกลยุทธ์ฟิชชิ่งแบบใหม่โดย Coldriver กลุ่มแฮ็กที่สหรัฐฯ และสหราชอาณาจักรต้องสงสัยว่าทำงานให้กับรัฐบาลรัสเซีย ปีที่แล้ว มีรายงานว่า Coldriver กำหนดเป้าหมายไปที่ห้องปฏิบัติการวิจัยนิวเคลียร์ของสหรัฐฯ สามแห่ง เช่นเดียวกับแฮ็กเกอร์อื่นๆ Coldriver พยายามเข้าควบคุมคอมพิวเตอร์ของเหยื่อด้วยการส่งข้อความฟิชชิ่งที่ลงเอยด้วยการส่งมัลแวร์
“Coldriver มักใช้บัญชีปลอม โดยแสร้งทำเป็นผู้เชี่ยวชาญในสาขาใดสาขาหนึ่งหรือเกี่ยวข้องกับเหยื่อในทางใดทางหนึ่ง” บริษัทกล่าวเสริม “บัญชีปลอมจะถูกนำมาใช้เพื่อติดต่อกับเหยื่อ ซึ่งจะเพิ่มโอกาสที่แคมเปญฟิชชิ่งจะประสบความสำเร็จ และท้ายที่สุดจะส่งลิงก์ฟิชชิ่งหรือเอกสารที่มีลิงก์ดังกล่าว” เพื่อให้เหยื่อติดตั้งมัลแวร์ Coldriver จะส่งบทความที่เป็นลายลักษณ์อักษรในรูปแบบ PDF เพื่อขอคำติชม แม้ว่าไฟล์ PDF จะสามารถเปิดได้อย่างปลอดภัย แต่ข้อความภายในจะถูกเข้ารหัส
“หากเหยื่อตอบว่าพวกเขาไม่สามารถอ่านเอกสารที่เข้ารหัสได้ บัญชี Coldriver จะตอบกลับด้วยลิงก์ซึ่งมักจะอยู่บนที่เก็บข้อมูลบนคลาวด์ ไปยังยูทิลิตี้ 'ถอดรหัส' ที่เหยื่อสามารถใช้ได้” Google กล่าวในแถลงการณ์ “ยูทิลิตี้ถอดรหัสนี้ซึ่งแสดงเอกสารปลอมด้วย จริงๆ แล้วเป็นประตูหลัง”
เรียกว่า Spica แบ็คดอร์เป็นมัลแวร์แบบกำหนดเองตัวแรกที่พัฒนาโดย Coldriver ตามข้อมูลของ Google เมื่อติดตั้งแล้ว มัลแวร์สามารถดำเนินการคำสั่ง ขโมยคุกกี้จากเบราว์เซอร์ของผู้ใช้ อัพโหลดและดาวน์โหลดไฟล์ และขโมยเอกสารจากคอมพิวเตอร์
Google ระบุว่า "สังเกตการใช้งาน Spica ย้อนกลับไปในเดือนกันยายน 2023 แต่เชื่อว่า Coldriver ใช้ประตูหลังตั้งแต่อย่างน้อยในเดือนพฤศจิกายน 2022" ตรวจพบตัวล่อ PDF ที่เข้ารหัสทั้งหมดสี่ตัว แต่ Google สามารถแยกตัวอย่าง Spica ได้เพียงตัวอย่างเดียวซึ่งมาเป็นเครื่องมือที่เรียกว่า "Proton-decrypter.exe"
บริษัทเสริมว่าเป้าหมายของ Coldriver คือการขโมยข้อมูลประจำตัวของผู้ใช้และกลุ่มที่เกี่ยวข้องกับยูเครน นาโต สถาบันการศึกษา และองค์กรพัฒนาเอกชน เพื่อปกป้องผู้ใช้ บริษัทได้อัปเดตซอฟต์แวร์ของ Google เพื่อบล็อกการดาวน์โหลดจากโดเมนที่เชื่อมโยงกับแคมเปญฟิชชิ่ง Coldriver
Google เผยแพร่รายงานดังกล่าวหนึ่งเดือนหลังจากบริการไซเบอร์ของสหรัฐฯ เตือนว่า Coldriver หรือที่รู้จักในชื่อ Star Blizzard "ยังคงใช้การโจมตีแบบฟิชชิ่งแบบหอกได้สำเร็จ" เพื่อโจมตีเป้าหมายในสหราชอาณาจักร
“ตั้งแต่ปี 2019 Star Blizzard กำหนดเป้าหมายไปยังภาคส่วนต่างๆ เช่น สถาบันการศึกษา กระทรวงกลาโหม องค์กรภาครัฐ องค์กรพัฒนาเอกชน คลังสมอง และผู้กำหนดนโยบาย” สำนักงานความปลอดภัยทางไซเบอร์และความปลอดภัยโครงสร้างพื้นฐานของสหรัฐอเมริกากล่าว “ในช่วงปี 2022 กิจกรรมของ Star Blizzard ดูเหมือนจะขยายตัวยิ่งขึ้นไปอีก โดยรวมถึงสิ่งอำนวยความสะดวกด้านการป้องกันและอุตสาหกรรม รวมถึงสิ่งอำนวยความสะดวกของกระทรวงพลังงานของสหรัฐอเมริกา”
อ่าน: