درب پشتی SPICA

عامل تهدید COLDRIVER، مرتبط با روسیه، مشاهده شده است که عملیات خود را فراتر از برداشت اعتبار گسترش می دهد. اولین بدافزار سفارشی خود را معرفی کرده است که در زبان برنامه نویسی Rust توسعه یافته و به عنوان درپشتی SPICA ردیابی می شود. استراتژی‌های حمله مرتبط با COLDRIVER از فایل‌های PDF به‌عنوان اسناد فریبنده برای شروع توالی عفونت، با ایمیل‌های فریبنده که از حساب‌های جعل هویت سرچشمه می‌گیرند، استفاده می‌کنند.

COLDRIVER که با نام‌های Blue Callisto، BlueCharlie (TAG-53)، Calisto (Callisto)، Dancing Salome، Gossamer Bear، Star Blizzard (SEABORGIUM سابق)، TA446 و UNC4057 شناخته می‌شود، از سال 2019 فعال بوده است. اهداف آن شامل بخش‌های متنوعی است. از جمله دانشگاه، دفاع، نهادهای دولتی، سازمان‌های غیردولتی، اتاق‌های فکر، نهادهای سیاسی و اخیراً تأسیسات دفاعی-صنعتی و انرژی.

تاکتیک‌های Spear-Phishing که توسط COLDRIVER برای ارائه بدافزار استفاده شده است

کمپین‌های فیشینگ نیزه‌ای که توسط این گروه راه‌اندازی شده‌اند، برای تعامل و ایجاد اعتماد با قربانیان احتمالی با هدف نهایی به اشتراک‌گذاری صفحات ورود به سیستم جعلی برای جمع‌آوری اعتبار آنها و دسترسی به حساب‌ها طراحی شده‌اند. گروه جرایم سایبری با استفاده از اسکریپت های سمت سرور برای جلوگیری از اسکن خودکار زیرساخت های کنترل شده توسط بازیگران و تعیین اهداف مورد علاقه قبل از هدایت آنها به صفحات فرود فیشینگ مشاهده شده است.

بازیگر تهدید از نوامبر 2022 از اسناد PDF خوش خیم به عنوان نقطه شروع استفاده می کرد تا اهداف را برای باز کردن فایل ها ترغیب کند. COLDRIVER این اسناد را به‌عنوان یک مقاله جدید یا نوع دیگری از مقاله ارائه می‌کند که حساب جعل هویت به دنبال انتشار آن است و از هدف درخواست بازخورد می‌کند. هنگامی که کاربر PDF خوش خیم را باز می کند، متن رمزگذاری شده به نظر می رسد.

در این صورت، گیرنده به این پیام پاسخ می‌دهد که نمی‌تواند سند را بخواند و عامل تهدید با پیوندی به ابزار رمزگشایی ادعایی («Proton-decrypter.exe») که در یک سرویس ذخیره‌سازی ابری میزبانی شده است، پاسخ می‌دهد. انتخاب نام "Proton-decrypter.exe" قابل توجه است زیرا دشمن عمدتاً از Proton Drive برای ارسال فریب های PDF از طریق پیام های فیشینگ استفاده می کند.

درب پشتی SPICA تحت پوشش یک رمزگشا رها شده است

در واقع، رمزگشا به عنوان یک تهدید درب پشتی معروف به SPICA عمل می‌کند و به COLDRIVER اجازه می‌دهد تا به طور مخفیانه به سیستم دسترسی داشته باشد و همزمان یک سند فریبنده برای حفظ فریب ارائه کند. SPICA، بدافزار سفارشی افتتاحیه COLDRIVER، از JSON بر روی WebSockets برای Command-and-Control (C2) استفاده می کند، که اقدامات مختلفی مانند اجرای دستورات پوسته دلخواه، سرقت کوکی ها از مرورگرهای وب، آپلود و دانلود فایل ها، و شمارش و استخراج داده ها را تسهیل می کند. پایداری از طریق یک کار برنامه ریزی شده ایجاد می شود.

پس از اجرا، SPICA یک PDF تعبیه شده را رمزگشایی می کند، آن را در دیسک ذخیره می کند و آن را به عنوان یک طعمه برای کاربر باز می کند. به طور همزمان، پایداری را ایجاد می کند و حلقه اولیه C2 را آغاز می کند و منتظر دستورات برای اجرا در پس زمینه است.

شواهد نشان می دهد که بازیگر دولت-ملت از اوایل نوامبر 2022 شروع به استفاده از این ایمپلنت کرده است. تیم امنیت سایبری انواع مختلفی از فریبنده PDF رمزگذاری شده را شناسایی کرده است که نشان دهنده وجود نسخه های مختلف SPICA است که بر اساس اسناد فریبنده خاص ارسال شده به اهداف ارسال شده است. .

محققان گمان می کنند که SPICA Backdoor در حملات بسیار هدفمند و محدود با تمرکز بر افراد برجسته در سازمان های غیر دولتی، مقامات اطلاعاتی و نظامی سابق، بخش های دفاعی و دولت های ناتو استفاده شده است.