Zscaler waarschuwt voor tactieken van dreigingsgroep COLDRIVER
Het ThreatLabz-team van beveiligingsbedrijf Zscaler heeft een nieuwe en meerfasige aanvalscampagne ontdekt, genaamd 'ClickFix', die met hoge waarschijnlijkheid gelinkt is aan de geavanceerde dreigingsgroep COLDRIVER (ook bekend als Star Blizzard, Callisto en UNC4057). Deze groep staat erom bekend zich te richten op NGO's, denktanks, journalisten en mensenrechtenactivisten in westerse landen en Rusland.
COLDRIVER, een groep die al lange tijd voornamelijk phishingtechnieken gebruikt om inloggegevens te stelen, heeft zijn aanvalsarsenaal nu uitgebreid met de 'ClickFix'-techniek.
Twee nieuwe malwarefamilies
In het kader van de ClickFix-campagne heeft ThreatLabz twee nieuwe, lichtgewicht malwarefamilies geïdentificeerd die door de groep worden ingezet:
- BAITSWITCH: Een downloader die wordt gebruikt om de initiële schadelijke code binnen te halen.
- SIMPLEFIX: Een PowerShell-backdoor die persistente toegang en controle over de geïnfecteerde machine mogelijk maakt.
COLDRIVER onderscheidt zich door gebruik te maken van server-side controles. Dit betekent dat de groep selectief schadelijke code verspreidt op basis van de user-agent en andere kenmerken van de machine van het slachtoffer, wat de detectie en analyse van de aanval bemoeilijkt.
Staatsgestuurde motieven en doelwitten
Sudeep Singh, Head of APT Research bij Zscaler ThreatLabz, bevestigt op basis van het onderzoek de bevindingen: "Wij kunnen met hoge zekerheid vaststellen dat deze campagne is uitgevoerd door COLDRIVER, een door de Russische staat gesteunde dreigingsgroep."
De aanvallen zijn gericht op individuen met sterke connecties binnen organisaties of gemeenschappen die van strategisch belang zijn voor de belangen van Rusland. Door deze sleutelpersonen te compromitteren, probeert de groep hun netwerken verder te infiltreren via vervolg-phishingcampagnes, wat duidt op een duidelijk spionage- of inlichtingenmotief.
Aanbevelingen voor verdediging
In reactie op de toegenomen verfijning van de aanvallen, benadrukt Singh het belang van zowel technische als menselijke voorzorgsmaatregelen:
- Verificatie: Organisaties en individuen moeten altijd de echtheid van contactpersonen en communicatie verifiëren via betrouwbare en onafhankelijke kanalen, aangezien COLDRIVER sterk leunt op misleiding en valse online identiteiten.
- MFA: Het inzetten van phishing-bestendige multifactorauthenticatie (MFA), zoals FIDO2 of WebAuthn, is cruciaal voor het effectief beschermen van accounts, daar traditionele MFA-vormen soms omzeild kunnen worden.
Daarnaast benadrukt Zscaler dat basale cyberbeveiligingsmaatregelen nog steeds een effectieve verdediging bieden. Dit omvat het afdwingen van least privilege-toegang en het gebruik van tools zoals Windows AppLocker of App Control om de uitvoering van ongewenste scripts en binaire bestanden te blokkeren. Technologieën zoals Browser Isolation kunnen bovendien helpen bij het beperken van klembordinteracties en gebruikersacties op niet-vertrouwde websites, wat een extra beschermingslaag biedt tegen ClickFix-achtige technieken.
De analyse toont aan dat 'ClickFix'-achtige aanvallen en lichtgewicht malware nog steeds effectieve methoden zijn in het arsenaal van gesofisticeerde dreigingsactoren.
Meer over Security
Over Witold Kepinski
