Google rapporte que ColdRiver, un gang de pirates informatiques soutenus par la Russie, utilise un logiciel malveillant dguis en un logiciel de dchiffrement de fichiers PDF pour voler les informations personnelles de ses victimes. Les piratages envoient des documents PDF apparemment chiffrs par le biais de courriels d’hameonnage usurpant l’identit de personnes affilies leurs cibles. Et lorsque les destinataires rpondent qu’ils ne peuvent pas lire les PDF chiffrs, ils reoivent un lien leur permettant de tlcharger ce qui ressemble un excutable d’un faux logiciel de dchiffrement de PDF afin de visualiser le contenu des documents. Ils se retrouvent alors infects.
La nouvelle forme d’attaque de ColdRiver a t rvle par le groupe d’analyse des menaces (Threats Analysis Group – TAG) de Google la fin du mois de janvier. Le rapport du TAG indique que cette tactique a t observe pour la premire fois en novembre 2022. Pour mmoire, ColdRiver (alias Blue Charlie, Callisto, Star Blizzard ou UNC4057) est rpertori comme un gang de pirates informatiques que les chercheurs en cyberscurit souponnent de travailler pour le gouvernement russe. Il y a un an, des rapports de scurit ont signal que ColdRiver avait pris pour cible trois laboratoires de recherche nuclaire amricains.
Comme d’autres pirates, ColdRiver tente de dtourner l’ordinateur d’une victime en envoyant des messages d’hameonnage qui aboutissent la diffusion de logiciels malveillants. Dans le cadre de cette menace, l’quipe de Google a rapport que ColdRiver diffuse des logiciels malveillants porte drobe inconnus jusqu’ prsent, en utilisant des charges utiles se faisant passer pour un outil de dchiffrement de fichiers PDF. Selon le rapport du TAG, les pirates envoient des documents PDF apparemment chiffrs par l’intermdiaire de courriels d’hameonnage qui usurpe l’identit de personnes affilies leurs cibles.
Capture d’cran d’un texte chiffr dans un document leurre
Lorsqu’un destinataire rpond qu’il ne peut pas lire les documents « chiffrs », il reoit un lien leur permettant de tlcharger ce qui ressemble un excutable de l’outil de dchiffrement de PDF (nomm Proton-decrypter.exe) afin de visualiser le contenu des documents leurres. ColdRiver prsente ces documents comme un nouvel article d’opinion ou un autre type d’article que le compte d’usurpation d’identit cherche publier, en demandant la cible de donner son avis. Lorsque l’utilisateur ouvre le PDF anodin, le texte apparat chiffr , indique le rapport. Les victimes sont alors exposes une violation de donnes.
Selon le TAG de Google, le faux logiciel de dchiffrement joue deux rles : il affiche un document PDF leurre et ouvre une porte drobe sur les appareils des victimes l’aide d’une souche de logiciel malveillant baptise Spica par les chercheurs. Ces derniers pensent qu’il existe probablement plusieurs chantillons de Spica correspondant aux leurres d’hameonnage, chacun avec un document leurre diffrent. Toutefois, ils n’ont pu capturer qu’un chantillon lors de leur enqute sur cette campagne. Spica, crit en Rust, utilise JSON via des websockets pour communiquer avec son serveur de commande et de contrle (C2).
Les chercheurs de Google affirment que Spica semble tre le premier logiciel malveillant personnalis dvelopp par ColdRiver. Il permet d’excuter des commandes Shell arbitraires, de voler les cookies de Chrome, Firefox, Opera et Edge, de tlcharger des fichiers et d’exfiltrer des documents. Une fois dploy sur un appareil compromis, Spica tablit galement une persistance l’aide d’une commande PowerShell obscurcie qui cre une tche programme « CalendarChecker ». Google a ajout tous les domaines, sites Web et fichiers utiliss dans ces attaques son service de protection contre le phishing « Safe Browsing ».
L’entreprise dit galement inform tous les utilisateurs de Gmail et de Workspace cibls qu’ils taient la cible d’une attaque soutenue par le gouvernement. En outre, Google ajoute que l’objectif des pirates russes tait de voler les identifiants de connexion d’utilisateurs et de groupes lis l’Ukraine, l’OTAN, des institutions universitaires et des ONG. L’on ignore comment la socit est parvenue cette conclusion. Ce rapport intervient environ un mois aprs que les autorits amricaines ont averti que ColdRiver continue d’utiliser avec succs des attaques d’hameonnage cibl pour atteindre des cibles au Royaume-Uni.
Commande PowerShell obfusque
L’Agence amricaine de cyberscurit et de scurit des infrastructures (Cybersecurity & Infrastructure Security Agency – CISA) avait expliqu : depuis 2019, Star Blizzard a cibl des secteurs incluant l’universit, la dfense, les organisations gouvernementales, les ONG, les groupes de rflexion et les politiciens. Au cours de l’anne 2022, l’activit de Star Blizzard a sembl s’tendre davantage, pour inclure des cibles du secteur de la dfense et de l’industrie, ainsi que des installations du ministre amricain de l’nergie . ColdRiver est actif depuis fin 2015 et est connu pour ses comptences en matire de renseignement.
En dcembre, le Royaume-Uni et ses allis des Five Eyes ont tabli un lien entre ColdRiver et la division « Centre 18 » du Service fdral de scurit (FSB) de la Russie, le service de scurit intrieure et de contre-espionnage du pays. Auparavant, Microsoft a rapport avoir djou des attaques ColdRiver visant plusieurs pays europens de l’OTAN en dsactivant les comptes Microsoft que les attaquants utilisaient pour surveiller et rcolter des courriels.
Depuis dcembre 2023, le dpartement d’tat amricain offre des rcompenses allant jusqu’ 10 millions de dollars pour toute information permettant de localiser ou d’identifier les pirates informatiques du groupe ColdRiver.
Source : Google
Et vous ?
Quel est votre avis sur le sujet ?
Que pensez-vous de la menace rapporte par les chercheurs de Google ?
Avez-vous dj t confront ce type d’attaque ? Si oui, partagez votre exprience.
Voir aussi