![Pinterest](https://pinterest.com/pin/create/button/?url=https://zh-cn.root-nation.com/ua/news-ua/it-news-ua/ua-google-russian-hackers-using-encrypted-pdf/&media=https://zh-cn.root-nation.com/wp-content/uploads/2022/11/hakers-logo-01.png&description=Google: "група російських державних хакерів надсилає зашифровані PDF-файли, щоб обманом змусити жертв запустити утиліту для дешифрування".){kind=link}
谷歌表示,一群俄罗斯国家黑客正在发送加密的 PDF 文件,以诱骗受害者运行实际上是恶意软件的解密实用程序。
昨天,该公司发布了一篇博客文章,记录了 Coldriver 的新网络钓鱼策略,美国和英国怀疑该黑客组织为俄罗斯政府工作。一年前,有报道称科尔德沃袭击了美国三个核研究实验室。与其他黑客一样,Coldriver 试图通过发送网络钓鱼消息来接管受害者的计算机,这些消息最终会传播恶意软件。
该公司补充道:“Coldriver 经常使用虚假账户,冒充某个领域的专家或以某种方式与受害者相关。” “然后使用虚假帐户联系受害者,这增加了网络钓鱼活动成功的可能性,并最终发送网络钓鱼链接或包含该链接的文档。”为了让受害者安装恶意软件,Coldriver 发送了 PDF 格式的书面文章寻求反馈。虽然PDF文件可以安全打开,但里面的文本会被加密。
谷歌在一份声明中表示:“如果受害者回答说他们无法读取加密文档,Coldriver 帐户就会回复一个链接(通常在云存储上),指向受害者可以使用的‘解密’实用程序。” “这个解密实用程序还显示虚假文档,实际上是一个后门。”
据谷歌称,该后门被称为 Spica,是 Coldriver 开发的第一个定制恶意软件。安装后,恶意软件可以执行命令、从用户浏览器窃取 cookie、上传和下载文件以及从计算机窃取文档。
谷歌表示,它“早在 2023 年 2022 月就观察到了 Spica 的使用,但认为 Coldriver 至少从 年 月起就一直在使用后门。”总共检测到了四个加密的 PDF 诱饵,但谷歌仅提取了一个 Spica 样本,该样本是一种名为“Proton-decrypter.exe”的工具。
该公司补充说,Coldriver 的目标是窃取与乌克兰、北约、学术机构和非政府组织相关的用户和团体的凭据。为了保护用户,该公司更新了 Google 软件,以阻止来自与 Coldriver 网络钓鱼活动链接的域的下载。
一个月前,美国网络服务部门警告 Coldriver(又名 Star Blizzard)“继续成功地利用鱼叉式网络钓鱼攻击”攻击英国目标,一个月后,谷歌发布了该报告。
美国网络安全和基础设施安全局表示,“自2019年以来,星际暴雪的目标包括学术界、国防、政府组织、非政府组织、智囊团和政策制定者等部门。” “2022 年,星际暴雪的活动似乎进一步扩大,包括国防和工业设施,以及美国能源部设施。”
另请阅读: