![핀터레스트](https://pinterest.com/pin/create/button/?url=https://ko.root-nation.com/ua/news-ua/it-news-ua/ua-google-russian-hackers-using-encrypted-pdf/&media=https://ko.root-nation.com/wp-content/uploads/2022/11/hakers-logo-01.png&description=Google: "група російських державних хакерів надсилає зашифровані PDF-файли, щоб обманом змусити жертв запустити утиліту для дешифрування".){kind=link}
구글은 러시아 국가 해커 그룹이 암호화된 PDF 파일을 보내 피해자가 실제로 악성 코드인 암호 해독 유틸리티를 실행하도록 속이고 있다고 밝혔습니다.
어제 회사는 미국과 영국이 러시아 정부를 위해 일하는 것으로 의심하는 해킹 그룹인 Coldriver의 새로운 피싱 전술을 기록한 블로그 게시물을 게시했습니다. 1년 전, 콜드라이버는 미국의 핵 연구소 3곳을 표적으로 삼았다는 보도가 있었습니다. 다른 해커와 마찬가지로 Coldriver는 악성 코드를 전달하는 피싱 메시지를 보내 피해자의 컴퓨터를 장악하려고 합니다.
회사 측은 "콜드라이버는 특정 분야의 전문가인 척하거나 피해자와 관련된 것으로 가장하는 가짜 계정을 자주 사용한다"고 덧붙였다. "그런 다음 가짜 계정을 사용하여 피해자에게 연락합니다. 이는 피싱 캠페인이 성공할 가능성을 높이고 궁극적으로 피싱 링크나 링크가 포함된 문서를 보냅니다." 피해자가 악성코드를 설치하도록 하기 위해 Coldriver는 피드백을 요청하는 PDF 형식의 서면 기사를 보냅니다. PDF 파일은 안전하게 열 수 있지만 내부 텍스트는 암호화됩니다.
구글은 성명을 통해 “피해자가 암호화된 문서를 읽을 수 없다고 응답하면 콜드라이버 계정은 일반적으로 클라우드 스토리지에 있는 피해자가 사용할 수 있는 '암호해독' 유틸리티에 대한 링크로 응답한다”고 밝혔다. "가짜 문서도 표시하는 이 암호 해독 유틸리티는 실제로는 백도어입니다."
Google에 따르면 Spica라고 명명된 이 백도어는 Coldriver가 개발한 최초의 맞춤형 악성 코드입니다. 일단 설치되면 악성코드는 명령을 실행하고, 사용자 브라우저에서 쿠키를 훔치고, 파일을 업로드 및 다운로드하고, 컴퓨터에서 문서를 훔칠 수 있습니다.
구글은 "2023년 2022월까지 스피카의 사용을 관찰했지만, 콜드라이버가 적어도 년 월부터 백도어를 사용해 왔다고 믿고 있다"고 밝혔습니다. 총 개의 암호화된 PDF 미끼가 감지되었지만 Google은 "Proton-decrypter.exe"라는 도구로 제공되는 Spica 샘플을 하나만 추출했습니다.
회사는 Coldriver의 목표가 우크라이나, NATO, 학술 기관 및 비정부 조직과 관련된 사용자 및 그룹의 자격 증명을 훔치는 것이라고 덧붙였습니다. 사용자를 보호하기 위해 회사는 Coldriver 피싱 캠페인에 연결된 도메인으로부터의 다운로드를 차단하도록 Google 소프트웨어를 업데이트했습니다.
Google은 미국 사이버 서비스가 Star Blizzard라고도 알려진 Coldriver가 영국의 목표물을 공격하기 위해 "스피어 피싱 공격을 계속 성공적으로 사용하고 있다"고 경고한 지 한 달 후에 보고서를 발표했습니다.
미국 사이버보안 및 인프라 보안국(CSA)은 "2019년부터 스타 블리자드는 학계, 국방, 정부 기관, 비정부기구, 싱크탱크, 정책입안자 등의 분야를 표적으로 삼았다"고 밝혔다. "2022년 동안 스타 블리자드의 활동은 국방 및 산업 시설은 물론 미국 에너지부 시설까지 포함하도록 더욱 확장된 것으로 보입니다."
또한 읽기: