SPICA Bagdør

Trusselsaktøren COLDRIVER, der er knyttet til Rusland, er blevet observeret udvide sine operationer ud over legitimationsindsamling. Det har introduceret sin første brugerdefinerede malware udviklet i Rust-programmeringssproget, der spores som SPICA-bagdøren. Angrebsstrategierne forbundet med COLDRIVER bruger PDF'er som lokkedokumenter til at starte infektionssekvensen med de vildledende e-mails, der stammer fra efterligningskonti.

COLDRIVER, alternativt anerkendt som Blue Callisto, BlueCharlie (TAG-53), Calisto (Callisto), Dancing Salome, Gossamer Bear, Star Blizzard (tidligere SEABORGIUM), TA446 og UNC4057, har været aktiv siden 2019. Dens mål spænder over forskellige sektorer, herunder den akademiske verden, forsvaret, statslige enheder, ikke-statslige organisationer, tænketanke, politiske enheder og for nylig forsvarsindustri- og energianlæg.

Spear-phishing-taktik, der bruges af COLDRIVER til at levere malware

Spear-phishing-kampagner iværksat af gruppen er designet til at engagere og opbygge tillid til de potentielle ofre med det ultimative mål at dele falske login-sider for at høste deres legitimationsoplysninger og få adgang til konti. Cyberkriminalitetsgruppen er blevet observeret ved at bruge serversidescripts for at forhindre automatiseret scanning af den aktørkontrollerede infrastruktur og bestemme mål af interesse, før de omdirigeres til phishing-destinationssiderne.

Trusselsaktøren har brugt godartede PDF-dokumenter som udgangspunkt så langt tilbage som i november 2022 for at lokke målene til at åbne filerne. COLDRIVER præsenterer disse dokumenter som en ny op-ed eller en anden type artikel, som efterligningskontoen ønsker at offentliggøre, og beder om feedback fra målet. Når brugeren åbner den godartede PDF, vises teksten krypteret.

I tilfældet svarer modtageren på beskeden om, at de ikke kan læse dokumentet, og trusselsaktøren svarer med et link til et påstået dekrypteringsværktøj ('Proton-decrypter.exe'), der er hostet på en cloud-lagringstjeneste. Valget af navnet 'Proton-decrypter.exe' er bemærkelsesværdigt, fordi modstanderen overvejende bruger Proton Drive til at sende PDF-lokkerne gennem phishing-beskederne.

SPICA-bagdøren er droppet under dække af en dekryptering

I virkeligheden fungerer dekrypteringsværktøjet som en bagdørstrussel kendt som SPICA, der giver COLDRIVER diskret adgang til systemet og samtidig præsenterer et lokkedokument for at opretholde bedraget. SPICA, COLDRIVERs indledende brugerdefinerede malware, bruger JSON over WebSockets for Command-and-Control (C2), hvilket letter forskellige handlinger, såsom at udføre vilkårlige shell-kommandoer, stjæle cookies fra webbrowsere, uploade og downloade filer og opregne og eksfiltrere data. Vedholdenhed etableres gennem en planlagt opgave.

Ved udførelse afkoder SPICA en indlejret PDF, gemmer den på disken og åbner den som et lokkemiddel for brugeren. Samtidig etablerer den vedholdenhed og starter den primære C2-løkke og afventer kommandoer til udførelse i baggrunden.

Beviser tyder på, at nationalstatsaktøren begyndte at bruge dette implantat allerede i november 2022. Cybersikkerhedsteamet har identificeret flere varianter af det 'krypterede' PDF-lokkemiddel, hvilket indikerer den mulige eksistens af forskellige versioner af SPICA skræddersyet til specifikke lokkedokumenter sendt til mål .

Forskere har mistanke om, at SPICA Backdoor har været ansat i meget målrettede og begrænsede angreb med fokus på fremtrædende personer inden for NGO'er, tidligere efterretnings- og militærembedsmænd, forsvarssektorer og NATO-regeringer.