Porta del darrere SPICA

S'ha observat que l'actor d'amenaça COLDRIVER, vinculat a Rússia, amplia les seves operacions més enllà de la recollida de credencials. Ha presentat el seu primer programari maliciós personalitzat desenvolupat en el llenguatge de programació Rust que s'està rastrejant com a porta posterior SPICA. Les estratègies d'atac associades a COLDRIVER utilitzen PDF com a documents d'engany per iniciar la seqüència d'infecció, amb els correus electrònics enganyosos originats a partir de comptes de suplantació.

COLDRIVER, reconegut alternativament com a Blue Callisto, BlueCharlie (TAG-53), Calisto (Callisto), Dancing Salome, Gossamer Bear, Star Blizzard (abans SEABORGIUM), TA446 i UNC4057, està actiu des del 2019. Els seus objectius abasten diversos sectors, incloent el món acadèmic, la defensa, les entitats governamentals, les organitzacions no governamentals, els think tanks, les entitats polítiques i, més recentment, les instal·lacions industrials i energètiques de defensa.

Tàctiques de spear-phishing utilitzades per COLDRIVER per lliurar programari maliciós

Les campanyes de spear-phishing muntades pel grup estan dissenyades per implicar i generar confiança amb les possibles víctimes amb l'objectiu final de compartir pàgines d'inici de sessió falses per recollir les seves credencials i accedir als comptes. S'ha observat que el grup de ciberdelinqüència utilitza scripts del servidor per evitar l'escaneig automatitzat de la infraestructura controlada per l'actor i determinar objectius d'interès abans de redirigir-los a les pàgines de destinació de pesca.

L'actor de l'amenaça ha estat utilitzant documents PDF benignes com a punt de partida des del novembre de 2022 per atraure els objectius a obrir els fitxers. COLDRIVER presenta aquests documents com un nou article d'opinió o un altre tipus d'article que el compte de suplantació vol publicar, demanant comentaris a l'objectiu. Quan l'usuari obre el PDF benigne, el text apareix encriptat.

En aquest cas, el destinatari respon al missatge indicant que no pot llegir el document i l'actor de l'amenaça respon amb un enllaç a una suposada eina de desxifrat ("Proton-decrypter.exe") allotjada en un servei d'emmagatzematge al núvol. L'elecció del nom "Proton-decrypter.exe" és notable perquè l'adversari utilitza principalment Proton Drive per enviar els esquers PDF a través dels missatges de pesca.

La porta del darrere SPICA es deixa caure sota l'aparença d'un desxifrador

En realitat, el desxifrador funciona com una amenaça de porta posterior coneguda com SPICA, la qual cosa permet a COLDRIVER accedir discretament al sistema alhora que presenta un document d'engany per mantenir l'engany. SPICA, el programari maliciós personalitzat inaugural de COLDRIVER, utilitza JSON sobre WebSockets per a Command-and-Control (C2), facilitant diverses accions com ara executar ordres arbitràries de l'intèrpret d'ordres, robar galetes dels navegadors web, carregar i descarregar fitxers i enumerar i extreure dades. La persistència s'estableix mitjançant una tasca programada.

Després de l'execució, SPICA descodifica un PDF incrustat, el desa al disc i l'obre com a esquer per a l'usuari. Simultàniament, estableix la persistència i inicia el bucle C2 principal, esperant les ordres per a l'execució en segon pla.

L'evidència suggereix que l'actor de l'estat-nació va començar a utilitzar aquest implant des del novembre de 2022. L'equip de ciberseguretat ha identificat múltiples variants de l'esquer PDF "xifrat", cosa que indica la possible existència de diferents versions de SPICA adaptades a documents específics d'esquer enviats als objectius. .

Els investigadors sospiten que l'SPICA Backdoor s'ha emprat en atacs molt específics i limitats, centrant-se en persones destacades dins d'ONG, antics funcionaris militars i d'intel·ligència, sectors de defensa i governs de l'OTAN.