За прошедшие годы TAG проанализировал ряд постоянных угроз, в том числе COLDRIVER (также известную как UNC4057, Star Blizzard и Callisto), российскую группу угроз, занимающуюся фишингом учетных данных против VIP-персон, ведущих НПО, бывших офицеров разведки, военных и НАТО. . Правительства. В течение многих лет TAG противодействовала и сообщала об усилиях этой группы по осуществлению шпионской деятельности, соответствующей интересам российского правительства. Чтобы улучшить понимание сообществом деятельности COLDRIVER, мы подчеркиваем их расширенные возможности, которые теперь включают использование вредоносного ПО.

КОЛДРАЙВЕР продолжайте идти он сосредоточен на фишинге учетных данных против Украины, стран НАТО, академических учреждений и НПО. Чтобы завоевать доверие жертв, COLDRIVER часто использует учетные записи, выдающие себя за другое лицо, выдавая себя за эксперта в определенной области или каким-то образом связанным с целью. Поддельная учетная запись затем используется для установления связи с целью, увеличивая шансы на успех фишинговой кампании, и в конечном итоге отправляет фишинговую ссылку или документ, содержащий ссылку. Недавно опубликовано информация на COLDRIVER освещается эволюция тактики, методов и процедур группы (TTP), направленная на улучшение ее возможностей уклонения от обнаружения.

Недавно TAG заметил, что COLDRIVER продолжает эту эволюцию, выходя за рамки фишинга с целью получения учетных данных и распространяя вредоносное ПО посредством кампаний с использованием PDF-файлов в качестве документов-ловушек. TAG сорвал следующую кампанию, добавив все известные домены и хеши в черные списки безопасного просмотра.