Πίσω πόρτα SPICA
Ο παράγοντας απειλών COLDRIVER, που συνδέεται με τη Ρωσία, έχει παρατηρηθεί να επεκτείνει τις δραστηριότητές του πέρα από τη συλλογή διαπιστευτηρίων. Παρουσίασε το πρώτο της προσαρμοσμένο κακόβουλο λογισμικό που αναπτύχθηκε στη γλώσσα προγραμματισμού Rust που παρακολουθείται ως κερκόπορτα SPICA. Οι στρατηγικές επίθεσης που σχετίζονται με το COLDRIVER χρησιμοποιούν αρχεία PDF ως παραπλανητικά έγγραφα για την έναρξη της αλληλουχίας μόλυνσης, με τα παραπλανητικά μηνύματα ηλεκτρονικού ταχυδρομείου που προέρχονται από λογαριασμούς πλαστοπροσωπίας.
Η COLDRIVER, εναλλακτικά αναγνωρισμένη ως Blue Callisto, BlueCharlie (TAG-53), Calisto (Callisto), Dancing Salome, Gossamer Bear, Star Blizzard (πρώην SEABORGIUM), TA446 και UNC4057, είναι ενεργή από το 2019. Οι στόχοι της εκτείνονται σε διάφορους τομείς συμπεριλαμβανομένου του ακαδημαϊκού κόσμου, της άμυνας, των κυβερνητικών φορέων, των μη κυβερνητικών οργανισμών, των δεξαμενών σκέψης, των πολιτικών οντοτήτων και, πιο πρόσφατα, των αμυντικών-βιομηχανικών και ενεργειακών εγκαταστάσεων.
Τακτικές Spear-phishing που χρησιμοποιούνται από την COLDRIVER για την παράδοση κακόβουλου λογισμικού
Οι καμπάνιες Spear-phishing που έχει δημιουργηθεί από την ομάδα έχουν σχεδιαστεί για να αλληλεπιδρούν και να χτίζουν εμπιστοσύνη με τα υποψήφια θύματα με απώτερο στόχο την κοινή χρήση πλαστών σελίδων σύνδεσης για τη συλλογή των διαπιστευτηρίων τους και την πρόσβαση στους λογαριασμούς. Η ομάδα εγκλήματος στον κυβερνοχώρο έχει παρατηρηθεί χρησιμοποιώντας σενάρια από την πλευρά του διακομιστή για να αποτρέψει την αυτοματοποιημένη σάρωση της υποδομής που ελέγχεται από τους ηθοποιούς και να καθορίσει στόχους ενδιαφέροντος πριν τους ανακατευθύνει στις σελίδες προορισμού ηλεκτρονικού ψαρέματος.
Ο ηθοποιός της απειλής χρησιμοποιούσε καλοήθη έγγραφα PDF ως σημείο εκκίνησης ήδη από τον Νοέμβριο του 2022 για να δελεάσει τους στόχους να ανοίξουν τα αρχεία. Η COLDRIVER παρουσιάζει αυτά τα έγγραφα ως νέο κείμενο ή άλλο είδος άρθρου που θέλει να δημοσιεύσει ο λογαριασμός πλαστοπροσωπίας, ζητώντας σχόλια από τον στόχο. Όταν ο χρήστης ανοίγει το καλό PDF, το κείμενο εμφανίζεται κρυπτογραφημένο.
Σε αυτή την περίπτωση, ο παραλήπτης απαντά στο μήνυμα δηλώνοντας ότι δεν μπορεί να διαβάσει το έγγραφο και ο παράγοντας απειλής απαντά με έναν σύνδεσμο προς ένα υποτιθέμενο εργαλείο αποκρυπτογράφησης («Proton-decrypter.exe») που φιλοξενείται σε μια υπηρεσία αποθήκευσης cloud. Η επιλογή του ονόματος «Proton-decrypter.exe» είναι αξιοσημείωτη επειδή ο αντίπαλος χρησιμοποιεί κατά κύριο λόγο το Proton Drive για να στείλει τα θέλγητρα PDF μέσω των μηνυμάτων phishing.
Η κερκόπορτα SPICA πέφτει κάτω από το πρόσχημα ενός αποκρυπτογραφητή
Στην πραγματικότητα, ο αποκρυπτογραφητής λειτουργεί ως απειλή κερκόπορτας γνωστή ως SPICA, επιτρέποντας στον COLDRIVER να έχει διακριτική πρόσβαση στο σύστημα ενώ ταυτόχρονα παρουσιάζει ένα έγγραφο δόλωμα για να διατηρήσει την εξαπάτηση. Το SPICA, το εναρκτήριο προσαρμοσμένο κακόβουλο λογισμικό της COLDRIVER, χρησιμοποιεί το JSON μέσω WebSockets για Command-and-Control (C2), διευκολύνοντας διάφορες ενέργειες όπως η εκτέλεση αυθαίρετων εντολών φλοιού, η κλοπή cookie από προγράμματα περιήγησης ιστού, η αποστολή και η λήψη αρχείων και η απαρίθμηση και η εξαγωγή δεδομένων. Η επιμονή εδραιώνεται μέσω μιας προγραμματισμένης εργασίας.
Κατά την εκτέλεση, το SPICA αποκωδικοποιεί ένα ενσωματωμένο PDF, το αποθηκεύει στο δίσκο και το ανοίγει ως δόλωμα για τον χρήστη. Ταυτόχρονα, δημιουργεί την επιμονή και ξεκινά τον κύριο βρόχο C2, αναμένοντας εντολές για εκτέλεση στο παρασκήνιο.
Τα στοιχεία δείχνουν ότι ο παράγοντας του έθνους-κράτους άρχισε να χρησιμοποιεί αυτό το εμφύτευμα ήδη από τον Νοέμβριο του 2022. Η ομάδα κυβερνοασφάλειας εντόπισε πολλές παραλλαγές του «κρυπτογραφημένου» δέλεαρ PDF, υποδεικνύοντας την πιθανή ύπαρξη διαφορετικών εκδόσεων του SPICA προσαρμοσμένων σε συγκεκριμένα έγγραφα δελεασμού που αποστέλλονται σε στόχους .
Οι ερευνητές υποπτεύονται ότι το SPICA Backdoor έχει χρησιμοποιηθεί σε εξαιρετικά στοχευμένες και περιορισμένες επιθέσεις, με εστίαση σε εξέχοντα άτομα εντός ΜΚΟ, πρώην αξιωματούχους πληροφοριών και στρατιωτικούς, αμυντικούς τομείς και κυβερνήσεις του ΝΑΤΟ.
