SPICA Backdoor

Hrozba COLDRIVER, napojená na Rusko, byla pozorována při rozšiřování svých operací nad rámec získávání pověření. Představila svůj první vlastní malware vyvinutý v programovacím jazyce Rust, který je sledován jako backdoor SPICA. Strategie útoku spojené s COLDRIVER využívají soubory PDF jako návnady k zahájení infekční sekvence, přičemž klamavé e-maily pocházejí z účtů předstírání identity.

COLDRIVER, alternativně známý jako Blue Callisto, BlueCharlie (TAG-53), Calisto (Callisto), Dancing Salome, Gossamer Bear, Star Blizzard (dříve SEABORGIUM), TA446 a UNC4057, je aktivní od roku 2019. Jeho cíle pokrývají různé sektory, včetně akademické sféry, obrany, vládních subjektů, nevládních organizací, think-tanků, politických subjektů a v poslední době i obranně-průmyslových a energetických zařízení.

Taktika Spear-Phishing využívaná společností COLDRIVER k doručování malwaru

Spear-phishing kampaně organizované skupinou jsou navrženy tak, aby se zapojily a vybudovaly důvěru potenciálních obětí s konečným cílem sdílet falešné přihlašovací stránky za účelem získání jejich přihlašovacích údajů a získání přístupu k účtům. Skupina kyberzločinců byla pozorována pomocí skriptů na straně serveru, aby zabránila automatizovanému skenování infrastruktury řízené aktérem a určila cíle zájmu před jejich přesměrováním na phishingové vstupní stránky.

Aktér hrozeb používal benigní dokumenty PDF jako výchozí bod již v listopadu 2022, aby nalákal cíle k otevření souborů. COLDRIVER prezentuje tyto dokumenty jako nový op-ed nebo jiný typ článku, který chce účet zosobnění publikovat, a žádá o zpětnou vazbu od cíle. Když uživatel otevře neškodné PDF, text se zobrazí zašifrovaný.

V případě, že příjemce odpoví na zprávu, že nemůže číst dokument, a aktér hrozby odpoví odkazem na údajný dešifrovací nástroj („Proton-decrypter.exe“) hostovaný na cloudové službě úložiště. Volba názvu 'Proton-decrypter.exe' je pozoruhodná, protože protivník používá převážně Proton Drive k odesílání návnad PDF prostřednictvím phishingových zpráv.

Zadní vrátka SPICA se skrývají pod maskou dešifrovače

Ve skutečnosti funguje dešifrovač jako hrozba zadních vrátek známá jako SPICA, která umožňuje COLDRIVERu diskrétně přistupovat do systému a současně předložit návnadu dokument k udržení podvodu. SPICA, inaugurační vlastní malware společnosti COLDRIVER, využívá JSON přes WebSockets pro Command-and-Control (C2), což usnadňuje různé akce, jako je provádění libovolných příkazů shellu, krádeže cookies z webových prohlížečů, nahrávání a stahování souborů a výčet a exfiltrace dat. Stálost je stanovena prostřednictvím naplánované úlohy.

Po spuštění SPICA dekóduje vložené PDF, uloží jej na disk a otevře jej jako návnadu pro uživatele. Současně nastaví persistenci a inicializuje primární smyčku C2, kde na pozadí čeká na provedení příkazů.

Důkazy naznačují, že národní státní činitel začal tento implantát používat již v listopadu 2022. Tým pro kybernetickou bezpečnost identifikoval několik variant „šifrované“ návnady PDF, což naznačuje možnou existenci různých verzí SPICA přizpůsobených konkrétním návnadovým dokumentům zasílaným cílům. .

Výzkumníci mají podezření, že SPICA Backdoor byl použit při vysoce cílených a omezených útocích se zaměřením na prominentní osoby v rámci nevládních organizací, bývalé zpravodajské a vojenské úředníky, obranné sektory a vlády NATO.