Organizações sem fins lucrativos russas e bielorrussas, mídia independente russa e organizações não governamentais internacionais ativas na Europa Oriental se tornaram alvos de duas campanhas distintas de spear-phishing orquestradas por agentes de ameaças cujos interesses se alinham aos do governo russo.
Enquanto uma das campanhas — apelidada de River of Phish — foi atribuída ao COLDRIVER, um coletivo adversário com ligações ao Serviço Federal de Segurança da Rússia (FSB), o segundo conjunto de ataques foi considerado obra de um grupo de ameaças não documentado anteriormente, com o codinome COLDWASTREL.
Os alvos das campanhas também incluíam importantes figuras da oposição russa no exílio, autoridades e acadêmicos de assume tanks e espaços políticos dos EUA, além de um ex-embaixador dos EUA na Ucrânia, de acordo com uma investigação conjunta do Entry Now e do Citizen Lab.
“Ambos os tipos de ataques foram altamente personalizados para enganar melhor os membros das organizações-alvo”, disse a Entry Now. “O padrão de ataque mais comum que observamos foi um e-mail enviado de uma conta comprometida ou de uma conta que parecia semelhante à conta actual de alguém que a vítima pode ter conhecido.”
O River of Phish envolve o uso de táticas de engenharia social personalizadas e altamente plausíveis para induzir as vítimas a clicar em um hyperlink incorporado em um documento PDF, que as redireciona para uma página de coleta de credenciais, mas não antes de identificar os hosts infectados em uma provável tentativa de impedir que ferramentas automatizadas acessem a infraestrutura de segundo estágio.
As mensagens de e-mail são enviadas de contas de e-mail do Proton Mail que se passam por organizações ou indivíduos conhecidos ou conhecidos das vítimas.
“Frequentemente observamos o invasor omitindo anexar um arquivo PDF à mensagem inicial solicitando uma revisão do arquivo 'anexo'”, disse o Citizen Lab. “Acreditamos que isso foi intencional e teve a intenção de aumentar a credibilidade da comunicação, reduzir o risco de detecção e selecionar apenas alvos que responderam à abordagem inicial (por exemplo, apontando a falta de um anexo).”
Os hyperlinks para o COLDRIVER são reforçados pelo fato de que os ataques usam documentos PDF que parecem criptografados e incentivam as vítimas a abri-los no Proton Drive clicando no hyperlink, um artifício que o agente da ameaça já empregou no passado.
Alguns dos elementos de engenharia social também se estendem ao COLDWASTREL, particularmente no uso do Proton Mail e do Proton Drive para enganar alvos a clicar em um hyperlink e levá-los a uma página de login falsa (“protondrive(.)on-line” ou “protondrive(.)providers”) para o Proton. Os ataques foram registrados pela primeira vez em março de 2023.
No entanto, COLDWASTREL se desvia de COLDRIVER quando se trata do uso de domínios semelhantes para coleta de credenciais e diferenças em conteúdo de PDF e metadados. A atividade não foi atribuída a um ator em specific neste estágio.
“Quando o custo da descoberta permanece baixo, o phishing continua sendo não apenas uma técnica eficaz, mas uma maneira de continuar a segmentação international, evitando expor recursos mais sofisticados (e caros) à descoberta”, disse o Citizen Lab.
