گروه تهدید روسیه COLDRIVER هدف قرار دادن مقامات غربی را گسترش داده و شامل استفاده از بدافزارها می شود

طی سال‌ها، TAG طیف وسیعی از تهدیدات مداوم از جمله COLDRIVER (همچنین با نام‌های UNC4057، Star Blizzard و Callisto شناخته می‌شود)، یک گروه تهدید روسی متمرکز بر فعالیت‌های فیشینگ اعتباری علیه افراد با سابقه سازمان‌های غیردولتی، افسران اطلاعاتی و نظامی سابق، و ناتو را تجزیه و تحلیل کرده است. دولت ها. برای سال‌ها، TAG با تلاش‌های این گروه برای انجام جاسوسی همسو با منافع دولت روسیه مقابله و گزارش می‌دهد. برای افزودن به درک جامعه از فعالیت COLDRIVER، ما در حال روشن کردن قابلیت های گسترده آنها هستیم که اکنون شامل استفاده از بدافزار است.

COLDRIVER به تمرکز خود بر فیشینگ اعتباری علیه اوکراین، کشورهای ناتو، موسسات دانشگاهی و سازمان‌های غیردولتی ادامه می‌دهد. برای جلب اعتماد اهداف، COLDRIVER اغلب از حساب‌های جعل هویت استفاده می‌کند و وانمود می‌کند که در یک زمینه خاص متخصص است یا به نحوی به هدف وابسته است. سپس از حساب جعل هویت برای ایجاد ارتباط با هدف استفاده می‌شود، احتمال موفقیت کمپین فیشینگ را افزایش می‌دهد و در نهایت یک پیوند یا سند فیشینگ حاوی پیوند ارسال می‌کند. اطلاعاتی که اخیراً در COLDRIVER منتشر شده است، تاکتیک‌ها، تکنیک‌ها و رویه‌های در حال تحول این گروه (TTPs) را برای بهبود قابلیت‌های فرار شناسایی آن برجسته می‌کند.

اخیراً، TAG مشاهده کرده است که COLDRIVER با فراتر رفتن از فیشینگ برای اعتبارنامه‌ها، به ارائه بدافزار از طریق کمپین‌ها با استفاده از فایل‌های PDF به عنوان اسناد فریبنده، به این تکامل ادامه می‌دهد. TAG با افزودن همه دامنه‌ها و هش‌های شناخته شده به فهرست‌های مسدودکننده مرور ایمن، کمپین زیر را مختل کرده است.