SPICA Backdoor

Заплахата COLDRIVER, свързана с Русия, е наблюдавана да разширява операциите си отвъд събирането на идентификационни данни. Той представи първия си персонализиран злонамерен софтуер, разработен на езика за програмиране Rust, който се проследява като задна врата на SPICA. Стратегиите за атака, свързани с COLDRIVER, използват PDF файлове като документи-примамка, за да инициират последователността на заразяване, като измамните имейли идват от сметки за имитация.

COLDRIVER, алтернативно разпознаван като Blue Callisto, BlueCharlie (TAG-53), Calisto (Callisto), Dancing Salome, Gossamer Bear, Star Blizzard (бивш SEABORGIUM), TA446 и UNC4057, е активен от 2019 г. Неговите цели обхващат различни сектори, включително академични среди, отбрана, правителствени организации, неправителствени организации, мозъчни тръстове, политически субекти и, напоследък, отбранително-промишлени и енергийни съоръжения.

Тактики за фишинг, използвани от COLDRIVER за доставяне на зловреден софтуер

Кампаниите за фишинг, организирани от групата, са предназначени да ангажират и изградят доверие с бъдещите жертви с крайната цел споделяне на фалшиви страници за влизане, за да се съберат техните идентификационни данни и да получат достъп до акаунтите. Групата за киберпрестъпления е наблюдавана, използвайки скриптове от страна на сървъра, за да предотврати автоматизирано сканиране на контролираната от актьора инфраструктура и да определи целите на интерес, преди да ги пренасочи към целевите страници за фишинг.

Актьорът на заплахата е използвал доброкачествени PDF документи като отправна точка още през ноември 2022 г., за да примами целите да отворят файловете. COLDRIVER представя тези документи като нов коментар или друг вид статия, която имитиращият акаунт иска да публикува, като иска обратна връзка от целта. Когато потребителят отвори доброкачествения PDF, текстът изглежда криптиран.

В този случай получателят отговаря на съобщението, че не може да прочете документа, а заплахата отговаря с връзка към предполагаем инструмент за дешифриране („Proton-decrypter.exe“), хостван в услуга за съхранение в облак. Изборът на името „Proton-decrypter.exe“ е забележителен, защото противникът използва предимно Proton Drive, за да изпраща PDF примамките чрез фишинг съобщенията.

Задната врата на SPICA е изпусната под прикритието на дешифратор

В действителност дешифраторът функционира като заплаха за задната вратичка, известна като SPICA, позволявайки на COLDRIVER дискретно да получи достъп до системата, като същевременно представя документ-примамка, за да поддържа измамата. SPICA, встъпителният потребителски злонамерен софтуер на COLDRIVER, използва JSON върху WebSockets за командване и контрол (C2), улеснявайки различни действия като изпълнение на произволни команди на обвивката, кражба на бисквитки от уеб браузъри, качване и изтегляне на файлове и изброяване и ексфилтриране на данни. Постоянството се установява чрез планирана задача.

При изпълнение SPICA декодира вграден PDF, записва го на диска и го отваря като примамка за потребителя. Едновременно с това той установява постоянство и инициира основния C2 цикъл, очаквайки команди за изпълнение във фонов режим.

Доказателствата сочат, че актьорът от националната държава е започнал да използва този имплант още през ноември 2022 г. Екипът по киберсигурност е идентифицирал множество варианти на „криптираната“ PDF примамка, което показва възможното съществуване на различни версии на SPICA, пригодени за конкретни документи за примамка, изпратени до целите .

Изследователите подозират, че Backdoor на SPICA е използван в силно насочени и ограничени атаки, с фокус върху видни личности в НПО, бивши разузнавателни и военни служители, отбранителни сектори и правителства на НАТО.