Google、PDFで政府要人を狙うロシアの脅威グループ「COLDRIVER」の手口を報告：テキストを復号するユーティリティツールが、裏でバックドアを構築

Googleは、ロシアの脅威グループであるCOLDRIVERによる最新の手口を報告した。

[＠IT]

　Googleの脅威分析グループ（以下TAG）は2024年1月18日（米国時間）、ロシアの脅威グループであるCOLDRIVER（UNC4057、Star Blizzard、Callistoとしても知られる）による、NGO（Non-Governmental Organization）、元情報機関や軍の将校、NATO加盟国の政府要人に対するクレデンシャルフィッシング活動の新しい動きを報告した。

　TAGは長年、ロシア政府の利益に沿ってスパイ活動をしているCOLDRIVERなどの取り組みに対抗し、脅威活動の分析と報告を続けてきた。

　TAGによると、COLDRIVERはウクライナ、NATO諸国、学術機関、NGOに対してクレデンシャルフィッシング攻撃を繰り返している。標的からの信頼を得るため、COLDRIVERはなりすましアカウントを利用して特定分野の専門家であるかのように装ったり、標的の関係者を装ったりする。そして、ターゲットと信頼関係を築いてフィッシングキャンペーンの成功の確率を高めた後、最終的にフィッシングリンクやリンクを含む文書を送信する。

　COLDRIVERは、検知回避能力を向上させるために、戦術／技術／手順（TTP）を進化させており、近年では認証情報を求めるフィッシングにとどまらず、PDFをおとり文書にして、マルウェアを配信している。TAGは判明した既知のドメインとハッシュをセーフブラウジングのブロックリストに追加することで、以下のような脅威活動を妨害してきた。

「PDF内の暗号化されたテキスト」をおとりに