Die russische Hackergruppe COLDRIVER hat laut Google’s Threat Analysis Group (TAG) ihre Vorgehensweise weiterentwickelt und erstmals maßgeschneiderte Malware entwickelt, die in der Programmiersprache Rust geschrieben ist. Die Gruppe nutzt PDF-Dokumente als Köder, um die Infektionssequenz auszulösen. Dabei versenden sie ihre gefälschten Dokumente von gefälschten Konten. COLDRIVER ist seit 2019 aktiv und richtet sich gegen verschiedene Sektoren, darunter Bildungseinrichtungen, Verteidigung, Regierungsorganisationen, NGOs, Denkfabriken sowie in jüngster Zeit gegen Verteidigungsindustrieziele und Energieeinrichtungen. Die Spear-Phishing-Kampagnen, die von COLDRIVER durchgeführt werden, zielen darauf ab, das Vertrauen potenzieller Opfer aufzubauen, um dann gefälschte Anmeldeseiten zu teilen und ihre Anmeldedaten zu stehlen.
Die neuesten Erkenntnisse von Google TAG zeigen, dass COLDRIVER seit November 2022 harmlose PDF-Dokumente als Ausgangspunkt verwendet, um ihre Opfer zum Öffnen der Dateien zu verleiten. Dabei geben sie vor, dass es sich um einen neuen Meinungsartikel handelt und sie nach Feedback des Ziels suchen. Wenn der Empfänger angibt, das Dokument nicht lesen zu können, antwortet COLDRIVER mit einem Link zu einem angeblichen Entschlüsselungstool („Proton-decrypter.exe“), das auf einem Cloud-Speicherdienst gehostet wird. Tatsächlich handelt es sich bei dem Entschlüsselungstool um einen Backdoor namens SPICA, der COLDRIVER heimlichen Zugriff auf den betroffenen Computer ermöglicht.
SPICA ist die erste maßgeschneiderte Malware, die von COLDRIVER entwickelt wurde, und nutzt JSON über WebSockets für Befehls- und Kontrollfunktionen. Damit kann die Malware verschiedene Aktionen ausführen, wie zum Beispiel das Ausführen von Shell-Befehlen, das Stehlen von Cookies aus Webbrowsern, das Hoch- und Herunterladen von Dateien sowie das Aufzählen und Ausfiltern von Dateien. Google TAG hat alle bekannten Websites, Domains und Dateien, die mit der Hackergruppe in Verbindung stehen, zu den Sperrlisten von Safe Browsing hinzugefügt, um die Kampagne zu stören und weitere Angriffe zu verhindern. Es gibt auch Hinweise darauf, dass COLDRIVER bereits seit November 2022 den SPICA-Implantat benutzt.
Im Zusammenhang mit der Kampagne haben die Regierungen des Vereinigten Königreichs und der Vereinigten Staaten vor über einem Monat zwei russische Mitglieder von COLDRIVER, Ruslan Aleksandrovich Peretyatko und Andrey Stanislavovich Korinets, sanktioniert. Die französische Cybersecurity-Firma Sekoia hat Verbindungen zwischen Korinets und Infrastrukturen der Gruppe aufgedeckt. Es wird vermutet, dass Korinets seine Domain-Registrierungskompetenzen für russische Geheimdienste eingesetzt hat.
