Organizações sem fins lucrativos russas e bielorrussas, mídia independente russa e organizações não governamentais internacionais ativas na Europa Oriental se tornaram alvos de duas campanhas separadas de spear-phishing orquestradas por agentes de ameaças cujos interesses se alinham com os do governo russo.
Enquanto uma das campanhas — apelidada de River of Phish — foi atribuída ao COLDRIVER, um coletivo adversário com laços com o Serviço Federal de Segurança da Rússia (FSB), o segundo conjunto de ataques foi considerado o trabalho de um cluster de ameaças não documentado anteriormente com o codinome COLDWASTREL.
Segurança cibernética
Os alvos das campanhas também incluíam figuras proeminentes da oposição russa no exílio, autoridades e acadêmicos no think tank e espaço político dos EUA, e um ex-embaixador dos EUA na Ucrânia, de acordo com uma investigação conjunta do Access Now e do Citizen Lab.
“Ambos os tipos de ataques foram altamente adaptados para enganar melhor os membros das organizações-alvo”, disse o Access Now. “O padrão de ataque mais comum que observamos foi um e-mail enviado de uma conta comprometida ou de uma conta que parecia semelhante à conta real de alguém que a vítima pode ter conhecido.”
River of Phish envolve o uso de táticas de engenharia social personalizadas e altamente plausíveis para enganar as vítimas a clicar em um link incorporado em um documento PDF, que as redireciona para uma página de coleta de credenciais, mas não antes de fazer a impressão digital dos hosts infectados em uma tentativa provável de impedir que ferramentas automatizadas acessem a infraestrutura de segundo estágio.
ONGs e mídia europeias
As mensagens de e-mail são enviadas de contas de e-mail do Proton Mail que se passam por organizações ou indivíduos que eram familiares ou conhecidos das vítimas.
“Muitas vezes observamos o invasor omitindo anexar um arquivo PDF à mensagem inicial solicitando uma revisão do arquivo ‘anexo'”, disse o Citizen Lab. “Acreditamos que isso foi intencional e pretendia aumentar a credibilidade da comunicação, reduzir o risco de detecção e selecionar apenas alvos que responderam à abordagem inicial (por exemplo, apontando a falta de um anexo).”
Os links para o COLDRIVER são reforçados pelo fato de que os ataques usam documentos PDF que parecem criptografados e incitam as vítimas a abri-los no Proton Drive clicando no link, um estratagema que o agente da ameaça empregou no passado.
Segurança cibernética
Alguns dos elementos de engenharia social também se estendem ao COLDWASTREL, particularmente no uso do Proton Mail e do Proton Drive para enganar os alvos a clicar em um link e levá-los a uma página de login falsa (“protondrive[.]online” ou “protondrive[.]services”) para o Proton. Os ataques foram registrados pela primeira vez em março de 2023.
No entanto, o COLDWASTREL se desvia do COLDRIVER quando se trata do uso de domínios semelhantes para coleta de credenciais e diferenças no conteúdo e metadados do PDF. A atividade não foi atribuída a um agente específico neste estágio.
“Quando o custo da descoberta permanece baixo, o phishing continua sendo não apenas uma técnica eficaz, mas uma maneira de continuar a segmentação global, evitando expor recursos mais sofisticados (e caros) à descoberta”, disse o Citizen Lab.
