ColdRiver黑客组的最新动态与威胁

关键要点

• ColdRiver黑客组织从网络钓鱼演变为利用恶意软件进行攻击。
• 其最新的后门程序SPICA通过PDF作为诱饵文件，攻击非政府组织、前情报和军事人员、北约政府和关键基础设施。
• 该组织与俄罗斯联邦安全局（FSB）相关，专门从事针对美国核研究设施的攻击。
• SPICA后门程序使用Rust开发，支持多项命令并利用JSON和WebSockets进行指挥控制。

ColdRiver黑客组织已逐步从钓取用户凭证转变为实施后门恶意软件活动，利用PDF文档作为诱饵，涉及的目标包括非政府组织（NGO）、前情报和军事人员、北约国家及关键基础设施。

在1月18日的一篇博客文章中，提到，可能存在多种版本的后门程序SPICA，每个版本都有不同的嵌入诱饵文档，以匹配发送给目标的诱饵文件。这一发展引起了安全研究人员的担忧，因为ColdRiver也被称为UNC4057、StarBlizzard和Callisto，是一个，由俄罗斯联邦安全局（FSB）资助，长期代表俄罗斯政府进行各种恶意活动。

例如，路透社在2023年1月报道说，ColdRiver已针对美国的三家核研究实验室。根据互联网记录，ColdRiver与对布鲁克海文（BNL）、阿贡（ANL）和劳伦斯·利弗莫尔国家实验室（LLNL）的攻击有关，黑客们创建了这些研究设施的假登录页面，并向核科学家发邮件试图获取他们的密码。

ColdRiver/StarBlizzard（即UNC4057）专注于鱼叉网络钓鱼活动，采用先进战术，包括伪装成已知联系人，以针对特定受害者进行定制，且技术配置和地址均被设置得看起来合法，Qualys威胁研究单位的网络威胁总监KenDunham对此进行了说明。

根据Dunham的说法，StarBlizzard自2019年以来就开始运作，主要目标为学术界、国防、政府组织、NGO、智库及政界人士。到2022年，StarBlizzard扩大了目标范围，包括美国能源部等国防工业目标。

Star Blizzard利用开源情报对目标进行侦察，以最大程度地定制攻击，通常通过鱼叉钓鱼攻击进行。Dunham指出，StarBlizzard最近的重点不是机会主义或半定向的攻击，而是高度专注和战略性的攻击，尤其是针对美国的监控控制和数据采集（SCADA）系统及关键基础设施。

“ColdRiver和SPICA旨在在目标核设施的员工账户和网络中建立立足点，可能会随后进行‘着陆和扩展’，”Dunham表示，他对此特定的针对性和集中性表示担忧：“特别是在全球动荡的美国选举年和全球权力转移期间。”

关于SPICA的规格，谷歌TAG研究人员表示，SPICA是用Rust编写的，使用JSON通过WebSocket进行指挥控制（C2）。它支持多种命令，包括执行任意Shell命令、从Chrome、Firefox、Opera和Edge中盗窃Cookies、上传和下载文件、列出文件系统内容及文档枚举和归档外泄。

TAG观察到SPICA作为后门程序的使用早在2023年9月，但认为ColdRiver对这种后门程序的使用至少从2022年11月就开始了。TAG观察到的最初“加密”PDF诱饵的四种不同变体，只有一个SPICA实例成功被回收。这个名为“Proton-
decrypter.exe”的样本使用了C2地址45.133.216[.]15:3000，很可能在2023年8月和9月活跃。TAG表示，它通过将所有已知域名和哈希值添加到安全浏览屏蔽列表中，干扰了ColdRiver的活动。