SPICA tagauks

On täheldatud, et Venemaaga seotud ohunäitleja COLDRIVER laiendab oma tegevust volituste kogumisest kaugemale. Ta tutvustas oma esimest kohandatud pahavara, mis on välja töötatud programmeerimiskeeles Rust, mida jälgitakse SPICA tagauksena. COLDRIVERiga seotud ründestrateegiad kasutavad nakatumise jada algatamiseks peibutusdokumentidena PDF-e, kusjuures petlikud meilid pärinevad kellegi teisena esinemise kontodelt.

COLDRIVER, teise nimega Blue Callisto, BlueCharlie (TAG-53), Calisto (Callisto), Dancing Salome, Gossamer Bear, Star Blizzard (endine SEABORGIUM), TA446 ja UNC4057, on tegutsenud alates 2019. aastast. Selle eesmärgid hõlmavad erinevaid sektoreid, sealhulgas akadeemilised ringkonnad, kaitse, valitsusasutused, valitsusvälised organisatsioonid, mõttekojad, poliitilised üksused ja viimasel ajal kaitse-tööstus- ja energiarajatised.

Odaandmepüügitaktika, mida COLDRIVER kasutab pahavara edastamiseks

Rühma korraldatud andmepüügikampaaniad on loodud potentsiaalsete ohvritega suhtlemiseks ja nende usalduse loomiseks, eesmärgiga jagada võltsitud sisselogimislehti, et koguda nende mandaate ja saada juurdepääs kontodele. Küberkuritegevuse rühmitust on täheldatud serveripoolsete skriptide kasutamisel, et takistada osalejate juhitud infrastruktuuri automaatset skannimist ja määrata huvipakkuvad sihtmärgid enne andmepüügi sihtlehtedele suunamist.

Ohustaja on kasutanud healoomulisi PDF-dokumente lähtepunktina juba 2022. aasta novembris, et meelitada sihtmärke faile avama. COLDRIVER esitleb neid dokumente uue op-ed või muud tüüpi artiklitena, mida kellegi teisena esinemise konto soovib avaldada, küsides sihtmärgilt tagasisidet. Kui kasutaja avab healoomulise PDF-faili, kuvatakse tekst krüpteerituna.

Sel juhul vastab adressaat sõnumile, et ta ei saa dokumenti lugeda ja ohus osaleja vastab lingiga pilvesalvestusteenuses hostitud väidetavale dekrüpteerimistööriistale (Proton-decrypter.exe). Nime 'Proton-decrypter.exe' valik on tähelepanuväärne, kuna vastane kasutab peamiselt Proton Drive'i, et saata PDF-peibutised andmepüügisõnumite kaudu.

SPICA tagauks on dekrüpteerija varjus

Tegelikkuses toimib dekrüpteerija tagaukse ohuna, mida tuntakse SPICA nime all, võimaldades COLDRIVERil süsteemile diskreetselt juurde pääseda, esitades samal ajal pettuse säilitamiseks peibutusdokumendi. SPICA, COLDRIVERi esmakordne kohandatud pahavara, kasutab JSON-i WebSocketsi kaudu Command-and-Control (C2) jaoks, hõlbustades erinevaid toiminguid, nagu suvaliste shellikäskude täitmine, veebibrauseritest küpsiste rikkumine, failide üles- ja allalaadimine ning andmete loendamine ja väljafiltreerimine. Püsivus luuakse ajastatud ülesande kaudu.

Täitmisel dekodeerib SPICA manustatud PDF-i, salvestab selle kettale ja avab selle kasutaja jaoks peibutusvahendina. Samal ajal loob see püsivuse ja käivitab esmase C2 ahela, oodates taustal täitmiseks käske.

Tõendid viitavad sellele, et rahvusriigi tegutseja hakkas seda implantaati kasutama juba 2022. aasta novembris. Küberjulgeoleku meeskond on tuvastanud mitu "krüpteeritud" PDF-peibutise varianti, mis viitab SPICA erinevate versioonide võimalikule olemasolule, mis on kohandatud sihtmärkidele saadetud konkreetsetele peibutusdokumentidele. .

Teadlased kahtlustavad, et SPICA Backdoori on kasutatud väga sihitud ja piiratud rünnakutes, keskendudes valitsusväliste organisatsioonide prominentsetele isikutele, endistele luure- ja sõjaväeametnikele, kaitsesektoritele ja NATO valitsustele.