Google rapporte que ColdRiver, un gang de pirates informatiques soutenus par la Russie, utilise un logiciel malveillant déguisé en un logiciel de déchiffrement de fichiers PDF pour voler les informations personnelles de ses victimes. Les piratages envoient des documents PDF apparemment chiffrés par le biais de courriels d'hameçonnage usurpant l'identité de personnes affiliées à leurs cibles. Et lorsque les destinataires répondent qu'ils ne peuvent pas lire les PDF chiffrés, ils reçoivent un lien leur permettant de télécharger ce qui ressemble à un exécutable d'un faux logiciel de déchiffrement de PDF afin de visualiser le contenu des documents. Ils se retrouvent alors infectés.La nouvelle forme d'attaque de ColdRiver a été révélée par le groupe d'analyse des menaces (Threats Analysis Group - TAG) de Google à la fin du mois de janvier. Le rapport du TAG indique que cette tactique a été observée pour la première fois en novembre 2022. Pour mémoire, ColdRiver (alias Blue Charlie, Callisto, Star Blizzard ou UNC4057) est répertorié comme un gang de pirates informatiques que les chercheurs en cybersécurité soupçonnent de travailler pour le gouvernement russe. Il y a un an, des rapports de sécurité ont signalé que ColdRiver avait pris pour cible trois laboratoires de recherche nucléaire américains.
Comme d'autres pirates, ColdRiver tente de détourner l'ordinateur d'une victime en envoyant des messages d'hameçonnage qui aboutissent à la diffusion de logiciels malveillants. Dans le cadre de cette menace, l'équipe de Google a rapporté que ColdRiver diffuse des logiciels malveillants à porte dérobée inconnus jusqu'à présent, en utilisant des charges utiles se faisant passer pour un outil de déchiffrement de fichiers PDF. Selon le rapport du TAG, les pirates envoient des documents PDF apparemment chiffrés par l'intermédiaire de courriels d'hameçonnage qui usurpe l'identité de personnes affiliées à leurs cibles.
Capture d'écran d'un texte chiffré dans un document leurre
Lorsqu'un destinataire répond qu'il ne peut pas lire les documents "chiffrés", il reçoit un lien leur permettant de télécharger ce qui ressemble à un exécutable de l'outil de déchiffrement de PDF (nommé Proton-decrypter.exe) afin de visualiser le contenu des documents leurres. « ColdRiver présente ces documents comme un nouvel article d'opinion ou un autre type d'article que le compte d'usurpation d'identité cherche à publier, en demandant à la cible de donner son avis. Lorsque l'utilisateur ouvre le PDF anodin, le texte apparaît chiffré », indique le rapport. Les victimes sont alors exposées à une violation de données.
Selon le TAG de Google, le faux logiciel de déchiffrement joue deux rôles : il affiche un document PDF leurre et ouvre une porte dérobée sur les appareils des victimes à l'aide d'une souche de logiciel malveillant baptisée Spica par les chercheurs. Ces derniers pensent qu'il existe probablement plusieurs échantillons de Spica correspondant aux leurres d'hameçonnage, chacun avec un document leurre différent. Toutefois, ils n'ont pu capturer qu'un échantillon lors de leur enquête sur cette campagne. Spica, écrit en Rust, utilise JSON via des websockets pour communiquer avec son serveur de commande et de contrôle (C2).
Les chercheurs de Google affirment que Spica semble être le premier logiciel malveillant personnalisé développé par ColdRiver. Il permet d'exécuter des commandes Shell arbitraires, de voler les cookies de Chrome, Firefox, Opera et Edge, de télécharger des fichiers et d'exfiltrer des documents. Une fois déployé sur un appareil compromis, Spica établit également une persistance à l'aide d'une commande PowerShell obscurcie qui crée une tâche programmée "CalendarChecker". Google a ajouté tous les domaines, sites Web et fichiers utilisés dans ces attaques à son service de protection contre le phishing "Safe Browsing".
L'entreprise dit également informé tous les utilisateurs de Gmail et de Workspace ciblés qu'ils étaient la cible d'une attaque soutenue par le gouvernement. En outre, Google ajoute que l'objectif des pirates russes était de voler les identifiants de connexion d'utilisateurs et de groupes liés à l'Ukraine, à l'OTAN, à des institutions universitaires et à des ONG. L'on ignore comment la société est parvenue à cette conclusion. Ce rapport intervient environ un mois après que les autorités américaines ont averti que ColdRiver continue d'utiliser avec succès des attaques d'hameçonnage ciblé pour atteindre des cibles au Royaume-Uni.
Commande PowerShell obfusquée
L'Agence américaine de cybersécurité et de sécurité des infrastructures (Cybersecurity & Infrastructure Security Agency - CISA) avait expliqué : « depuis 2019, Star Blizzard a ciblé des secteurs incluant l'université, la défense, les organisations gouvernementales, les ONG, les groupes de réflexion et les politiciens. Au cours de l'année 2022, l'activité de Star Blizzard a semblé s'étendre davantage, pour inclure des cibles du secteur de la défense et de l'industrie, ainsi que des installations du ministère américain de l'Énergie ». ColdRiver est actif depuis fin 2015 et est connu pour ses compétences en matière de renseignement.
En décembre, le Royaume-Uni et ses alliés des Five Eyes ont établi un lien entre ColdRiver et la division "Centre 18" du Service fédéral de sécurité (FSB) de la Russie, le service de sécurité intérieure et de contre-espionnage du pays. Auparavant, Microsoft a rapporté avoir déjoué des attaques ColdRiver visant plusieurs pays européens de l'OTAN en désactivant les comptes Microsoft que les attaquants utilisaient pour surveiller et récolter des courriels.
Depuis décembre 2023, le département d'État américain offre des récompenses allant jusqu'à 10 millions de dollars pour toute information permettant de localiser ou d'identifier les pirates informatiques du groupe ColdRiver.
Source : Google
Et vous ?
Quel est votre avis sur le sujet ? Que pensez-vous de la menace rapportée par les chercheurs de Google ? Avez-vous déjà été confronté à ce type d'attaque ? Si oui, partagez votre expérience.Voir aussi
Google accepte de supprimer les données des utilisateurs qu'il a secrètement collectées à partir des sessions de navigation en mode Incognito, après avoir fait l'objet de poursuites judiciaires L'envers du décor de TikTok : Quelles données collecte-t-il réellement ? TikTok récupère vos données même si vous n'avez jamais utilisé l'application que l'app soit supprimée ou non, selon un rapport Un courriel de phishing sur six est ouvert et le phishing par lien a été une réussite dans 11 % des cas, révèle un nouveau rapport de Proofpoint 
