سبايكا مستتر

وقد لوحظ أن جهة التهديد COLDRIVER، المرتبطة بروسيا، توسع عملياتها إلى ما هو أبعد من جمع بيانات الاعتماد. لقد قدمت أول برامج ضارة مخصصة تم تطويرها بلغة برمجة Rust والتي يتم تتبعها باعتبارها باب خلفي SPICA. تستخدم استراتيجيات الهجوم المرتبطة بـ COLDRIVER ملفات PDF كمستندات وهمية لبدء تسلسل الإصابة، مع رسائل البريد الإلكتروني الخادعة الصادرة من حسابات انتحال الشخصية.

COLDRIVER، والمعروفة أيضًا باسم Blue Callisto، وBlueCharlie (TAG-53)، وCalisto (Callisto)، وDancing Salome، وGossamer Bear، وStar Blizzard (SEABORGIUM سابقًا)، وTA446، وUNC4057، نشطة منذ عام 2019. وتغطي أهدافها قطاعات متنوعة، بما في ذلك الأوساط الأكاديمية، والدفاع، والهيئات الحكومية، والمنظمات غير الحكومية، ومراكز الفكر، والكيانات السياسية، ومؤخراً، مرافق الصناعة الدفاعية والطاقة.

تكتيكات التصيد الاحتيالي التي تستخدمها COLDRIVER لتوصيل البرامج الضارة

تم تصميم حملات التصيد الاحتيالي التي شنتها المجموعة للمشاركة وبناء الثقة مع الضحايا المحتملين بهدف نهائي يتمثل في مشاركة صفحات تسجيل دخول زائفة للحصول على بيانات اعتمادهم والوصول إلى الحسابات. وقد لوحظ أن مجموعة الجرائم الإلكترونية تستخدم نصوصًا برمجية من جانب الخادم لمنع المسح الآلي للبنية التحتية التي يتحكم فيها الممثل وتحديد الأهداف محل الاهتمام قبل إعادة توجيهها إلى الصفحات المقصودة للتصيد الاحتيالي.

يستخدم ممثل التهديد مستندات PDF الحميدة كنقطة انطلاق منذ نوفمبر 2022 لإغراء الأهداف بفتح الملفات. يقدم COLDRIVER هذه المستندات كمقالة افتتاحية جديدة أو نوع آخر من المقالات التي يتطلع حساب الانتحال إلى نشرها، ويطلب التعليقات من الهدف. عندما يفتح المستخدم ملف PDF الحميد، يظهر النص مشفرًا.

في هذه الحالة، يستجيب المستلم للرسالة التي تفيد بأنه لا يمكنه قراءة المستند ويرد ممثل التهديد برابط إلى أداة فك التشفير المزعومة ('Proton-decrypter.exe') المستضافة على خدمة التخزين السحابية. يعد اختيار الاسم "Proton-decrypter.exe" ملحوظًا لأن الخصم يستخدم في الغالب Proton Drive لإرسال إغراءات PDF عبر رسائل التصيد الاحتيالي.

تم إسقاط الباب الخلفي لـ SPICA تحت ستار برنامج Decrypter

في الواقع، يعمل برنامج فك التشفير كتهديد خلفي يُعرف باسم SPICA، مما يسمح لـ COLDRIVER بالوصول إلى النظام بشكل سري بينما يقدم في نفس الوقت مستندًا خادعًا للحفاظ على الخداع. تستخدم SPICA، البرمجيات الخبيثة المخصصة الافتتاحية لـ COLDRIVER، JSON عبر WebSockets للأوامر والتحكم (C2)، وتسهيل إجراءات مختلفة مثل تنفيذ أوامر shell التعسفية، وسرقة ملفات تعريف الارتباط من متصفحات الويب، وتحميل وتنزيل الملفات، وتعداد البيانات وإخراجها. يتم تأسيس الثبات من خلال مهمة مجدولة.

عند التنفيذ، يقوم SPICA بفك تشفير ملف PDF المضمن، وحفظه على القرص، وفتحه كخدعة للمستخدم. وفي الوقت نفسه، فإنه يؤسس للاستمرارية ويبدأ حلقة C2 الأساسية، في انتظار الأوامر للتنفيذ في الخلفية.

تشير الدلائل إلى أن الدولة القومية بدأت في استخدام هذا الزرع في وقت مبكر من نوفمبر 2022. وقد حدد فريق الأمن السيبراني متغيرات متعددة لإغراء PDF "المشفر"، مما يشير إلى احتمال وجود إصدارات مختلفة من SPICA مصممة خصيصًا لمستندات إغراء محددة مرسلة إلى الأهداف. .

يشتبه الباحثون في أن SPICA Backdoor قد تم استخدامه في هجمات محدودة وموجهة للغاية، مع التركيز على أفراد بارزين داخل المنظمات غير الحكومية، ومسؤولين استخباراتيين وعسكريين سابقين، وقطاعات الدفاع، وحكومات الناتو.