طی سالها، TAG طیف وسیعی از تهدیدات مداوم از جمله COLDRIVER (همچنین با نامهای UNC4057، Star Blizzard و Callisto شناخته میشود)، یک گروه تهدید روسی متمرکز بر فعالیتهای فیشینگ اعتباری علیه افراد با سابقه سازمانهای غیردولتی، افسران اطلاعاتی و نظامی سابق، و ناتو را تجزیه و تحلیل کرده است. دولت ها. برای سالها، TAG با تلاشهای این گروه برای انجام جاسوسی همسو با منافع دولت روسیه مقابله و گزارش میدهد. برای افزودن به درک جامعه از فعالیت COLDRIVER، ما در حال روشن کردن قابلیت های گسترده آنها هستیم که اکنون شامل استفاده از بدافزار است.
COLDRIVER به تمرکز خود بر فیشینگ اعتباری علیه اوکراین، کشورهای ناتو، موسسات دانشگاهی و سازمانهای غیردولتی ادامه میدهد. برای جلب اعتماد اهداف، COLDRIVER اغلب از حسابهای جعل هویت استفاده میکند و وانمود میکند که در یک زمینه خاص متخصص است یا به نحوی به هدف وابسته است. سپس از حساب جعل هویت برای ایجاد ارتباط با هدف استفاده میشود، احتمال موفقیت کمپین فیشینگ را افزایش میدهد و در نهایت یک پیوند یا سند فیشینگ حاوی پیوند ارسال میکند. اطلاعاتی که اخیراً در COLDRIVER منتشر شده است، تاکتیکها، تکنیکها و رویههای در حال تحول این گروه (TTPs) را برای بهبود قابلیتهای فرار شناسایی آن برجسته میکند.
اخیراً، TAG مشاهده کرده است که COLDRIVER با فراتر رفتن از فیشینگ برای اعتبارنامهها، به ارائه بدافزار از طریق کمپینها با استفاده از فایلهای PDF به عنوان اسناد فریبنده، به این تکامل ادامه میدهد. TAG با افزودن همه دامنهها و هشهای شناخته شده به فهرستهای مسدودکننده مرور ایمن، کمپین زیر را مختل کرده است.