Theo TechRadar, trong hơn một năm qua, các nhóm tin tặc được nhà nước Nga tài trợ đã tấn công các tổ chức quân sự và quốc phòng của Ukraine bằng phần mềm độc hại được thiết kế riêng. Thông tin này được tiết lộ bởi nhóm phân tích mối đe dọa TAG của Google, những người đã đặt tên cho nhóm tấn công của Nga là COLDRIVER - trong khi các nhóm an ninh khác gọi họ là Star Blizzard, UNC4057 và Callisto.
Theo báo cáo của TAG, COLDRIVER đã bị phát hiện từ năm 2019, tập trung vào các mục tiêu quân sự, chính phủ, học thuật, NGO và các mục tiêu tương tự ở phương Tây. Tuy nhiên, kể từ đầu năm 2022 và sau cuộc tấn công của Nga vào Ukraine, nhóm này đã tăng cường hoạt động bằng cách phát triển một phần mềm độc hại mới có tên SPICA. SPICA có khả năng thực thi các lệnh shell, đánh cắp cookie từ các trình duyệt phổ biến, tải lên và tải xuống các tệp tin, xem và đánh cắp các tài liệu nhạy cảm.
Theo báo cáo được công bố đầu tuần này, nhóm TAG cho biết rằng SPICA đã được quan sát sử dụng từ tháng 9/2023, nhưng COLDRIVER được cho là đã sử dụng phần mềm độc hại này từ tháng 11/2022.
The TAG indicates that SPICA appears to be COLDRIVER's first custom-made malicious software and is being distributed to reputable individuals within non-governmental organizations, former intelligence and military officials, defense and NATO governments.
Tuy nhiên, phương thức phân phối vẫn không thay đổi. Kẻ tấn công sẽ tìm hiểu thông tin về nạn nhân trên mạng xã hội và liên lạc bằng cách giả danh người quen của họ. Một báo cáo khác của Five Eyes cho biết kẻ tấn công sử dụng email để gửi một tệp tin PDF giả mạo và không thể đọc được. Khi nạn nhân trả lời người gửi, kẻ tấn công sẽ gửi lại một "công cụ giải mã" cho tệp đó, nhưng thực chất là phần mềm độc hại SPICA. Tuy nhiên, phương thức phân phối vẫn không thay đổi. Kẻ tấn công sẽ tìm hiểu thông tin về nạn nhân trên mạng xã hội và tiếp xúc bằng cách giả danh người quen của họ. Một báo cáo khác từ Five Eyes cho biết kẻ tấn công sử dụng email để gửi một tệp tin PDF giả mạo và không thể đọc được. Khi nạn nhân trả lời người gửi, kẻ tấn công sẽ gửi lại một "công cụ giải mã" cho tệp đó, nhưng thực chất là phần mềm độc hại SPICA.
Một phương pháp hiệu quả để đối phó với những cuộc tấn công này là cẩn trọng khi nhận các email từ người không quen và xác minh danh tính của người gửi trước khi tương tác với nội dung và tệp đính kèm.
