Laut Google-Forschern gibt es Hinweise darauf, dass eine berüchtigte mit Russland verbundene Hackergruppe namens „ColdRiver“ ihre Taktiken von Phishing zu datenstehlender Malware weiterentwickelt, die es auf Opfer abgesehen hat.

ColdRiver, auch bekannt als „CallistoGroup“ und „StarBlizzard“, ist für seine langjährigen Spionageaktivitäten gegen NATO-Staaten, insbesondere die USA und das Vereinigte Königreich, bekannt.

Forscher gehen davon aus, dass die Aktivitäten der Gruppe häufig auf hochrangige Personen und Organisationen abzielen, die sich mit internationalen Angelegenheiten und Verteidigung befassen, was auf ihre enge Verbindung zu Russland hinweist. US-Staatsanwälte erhoben im Dezember Anklage gegen zwei Russen mit Verbindungen zur Gruppe.

In einer neuen Untersuchung in dieser Woche sagte Googles Threat Analysis Group (TAG), sie habe beobachtet, dass ColdRiver in den letzten Monaten seine Aktivitäten intensivierte und neue Taktiken einsetzte, die seinen Opfern, vor allem Zielen in der Ukraine und ihren NATO-Verbündeten, akademischen Institutionen und Nichtregierungsorganisationen, größeren Schaden zufügen könnten.

Diese neuesten Erkenntnisse kommen kurz nachdem Microsoft-Forscher berichteten, dass die mit Russland verbündete Hackergruppe ihre Fähigkeit, der Entdeckung zu entgehen, verbessert habe.

TAG-Forscher teilten die Untersuchung vor der Veröffentlichung am Donnerstag mit und stellten fest, dass ColdRiver von seiner üblichen Phishing-Taktik nach Anmeldeinformationen abgewichen ist und die Malware stattdessen über Kampagnen verbreitet, die PDF-Dokumente als Köder verwenden.

TAG sagte, dass ColdRiver seit November 2022 eine Reihe von PDF-Dokumenten an Zielpersonen verschickt habe, die als meinungsredierende Artikel oder andere Arten von Artikeln getarnt seien, und dass die getäuschten Konten darauf hofften, Feedback zu diesen Artikeln einzuholen.

Wenn ein Opfer eine harmlose PDF-Datei öffnet, erscheint der Text verschlüsselt. Wenn das Ziel antwortet, dass es das Dokument nicht lesen kann, senden die Hacker einen Link zu einem „Entschlüsselungs“-Tool, bei dem es sich laut Google-Forschern um eine benutzerdefinierte Hintertür handelt, die als „SPICA“ verfolgt wird. Google sagte, dass dies die erste benutzerdefinierte Malware sei, die von ColdRiver entwickelt und verwendet werde. Diese Hintertür ermöglicht es Angreifern, kontinuierlich auf den Computer des Opfers zuzugreifen, Befehle auszuführen, Browser-Cookies zu stehlen und Dokumente preiszugeben.

Billy Leonard, ein Sicherheitsingenieur bei TAG, sagte, dass Google die Anzahl der Opfer, die durch SPICA erfolgreich kompromittiert wurden, nicht kenne, sagte jedoch, dass Google davon ausgeht, dass SPICA nur für „sehr begrenzte, gezielte Angriffe“ verwendet wird. Leonard fügte hinzu, dass sich die Malware wahrscheinlich noch in der aktiven Entwicklung befinde und bei laufenden Angriffen eingesetzt werde und dass die Aktivitäten von ColdRiver trotz Strafverfolgungsmaßnahmen „über die letzten Jahre ziemlich konstant geblieben seien“.

Google sagte, dass der Technologieriese nach der Entdeckung der ColdRiver-Malware-Kampagne alle identifizierten Websites, Domains und Dateien zu seinem Safe Browsing-Dienst hinzugefügt habe, um zu verhindern, dass die Kampagne weitere Google-Nutzer ins Visier nimmt.

Google-Forscher haben die ColdRiver-Gruppe zuvor mit einer Hacking- und Leak-Operation in Verbindung gebracht, bei der eine große Anzahl E-Mails und Dokumente von hochrangigen Brexit-Befürwortern, darunter Sir Richard Dearlove, dem ehemaligen Chef des britischen Auslandsgeheimdienstes MI6, gestohlen und durchgesickert sind.