Google का दावा, रूसी समूह PDF का उपयोग कर मैलवेयर पहुंचा रहा
सैन फ्रांसिस्को : Google शोधकर्ताओं ने देखा है कि कुख्यात रूसी खतरा समूह - COLDRIVER, जो क्रेडेंशियल फ़िशिंग गतिविधियों पर केंद्रित था, अब "पीडीएफ को प्रलोभन दस्तावेजों के रूप में उपयोग करके अभियानों के माध्यम से मैलवेयर" वितरित करके इससे आगे निकल गया है। COLDRIVER, जिसे 'UNC4057', 'स्टार ब्लिज़ार्ड' और 'कैलिस्टो' के नाम से भी …
सैन फ्रांसिस्को : Google शोधकर्ताओं ने देखा है कि कुख्यात रूसी खतरा समूह - COLDRIVER, जो क्रेडेंशियल फ़िशिंग गतिविधियों पर केंद्रित था, अब "पीडीएफ को प्रलोभन दस्तावेजों के रूप में उपयोग करके अभियानों के माध्यम से मैलवेयर" वितरित करके इससे आगे निकल गया है। COLDRIVER, जिसे 'UNC4057', 'स्टार ब्लिज़ार्ड' और 'कैलिस्टो' के नाम से भी जाना जाता है, ने यूक्रेन, नाटो देशों, शैक्षणिक संस्थानों और गैर सरकारी संगठनों के खिलाफ क्रेडेंशियल फ़िशिंग पर ध्यान केंद्रित किया है।
लक्ष्य का विश्वास हासिल करने के लिए, समूह अक्सर प्रतिरूपण खातों का उपयोग करता है, किसी विशेष क्षेत्र में विशेषज्ञ होने या किसी तरह लक्ष्य से संबद्ध होने का दिखावा करता है। Google के थ्रेट एनालिसिस ग्रुप (TAG) के नए शोध के अनुसार, COLDRIVER ने हाल के महीनों में अपनी गतिविधि बढ़ा दी है और अब नई रणनीति का उपयोग कर रहा है जो इसके पीड़ितों के लिए और अधिक व्यवधान पैदा कर सकता है। Google ने गुरुवार को एक ब्लॉगपोस्ट में कहा, "नवंबर 2022 तक, TAG ने COLDRIVER को प्रतिरूपण खातों से लक्ष्य सौम्य पीडीएफ दस्तावेज़ भेजते हुए देखा है।"
ख़तरा समूह इन दस्तावेज़ों को एक नए ऑप-एड या अन्य प्रकार के लेख के रूप में प्रस्तुत करता है जिसे प्रतिरूपण खाता प्रकाशित करना चाहता है, और लक्ष्य से प्रतिक्रिया मांगता है। शोधकर्ताओं ने बताया कि जब उपयोगकर्ता सौम्य पीडीएफ खोलता है, तो पाठ एन्क्रिप्टेड दिखाई देता है। यदि लक्ष्य जवाब देता है कि वे एन्क्रिप्टेड दस्तावेज़ को नहीं पढ़ सकते हैं, तो COLDRIVER प्रतिरूपण खाता एक लिंक के साथ प्रतिक्रिया करता है, जो आमतौर पर क्लाउड स्टोरेज साइट पर होस्ट किया जाता है, लक्ष्य के उपयोग के लिए "डिक्रिप्शन" उपयोगिता के लिए।
शोधकर्ताओं ने कहा, "यह डिक्रिप्शन उपयोगिता, एक फर्जी दस्तावेज़ प्रदर्शित करते समय, वास्तव में एक पिछला दरवाजा है, जिसे SPICA के रूप में ट्रैक किया जाता है, जो कोल्ड्रिवर को पीड़ित की मशीन तक पहुंच प्रदान करता है।" 2015 और 2016 में, TAG ने COLDRIVER को स्काउट इम्प्लांट का उपयोग करते हुए देखा जो जुलाई 2015 की हैकिंग टीम घटना के दौरान लीक हो गया था। SPICA पहले कस्टम मैलवेयर का प्रतिनिधित्व करता है जिसे TAG शोधकर्ता COLDRIVER द्वारा विकसित और उपयोग किए जाने का श्रेय देते हैं। शोधकर्ताओं ने देखा है कि SPICA का उपयोग सितंबर 2023 की शुरुआत में किया जा रहा था, लेकिन उनका मानना है कि COLDRIVER का पिछले दरवाजे का उपयोग कम से कम नवंबर 2022 तक चला आ रहा है।
