SPICA takaovi

Venäjään liittyvän uhkatekijän COLDRIVERin on havaittu laajentavan toimintaansa valtakirjojen keräämisen ulkopuolelle. Se on esitellyt ensimmäisen mukautetun haittaohjelmansa, joka on kehitetty Rust-ohjelmointikielellä, jota seurataan SPICA-takaovena. COLDRIVERiin liittyvät hyökkäysstrategiat käyttävät PDF-tiedostoja houkutusasiakirjoina tartuntasarjan käynnistämiseen, ja petolliset sähköpostit ovat peräisin toisena henkilönä esiintymistileistä.

COLDRIVER, joka tunnetaan vaihtoehtoisesti nimellä Blue Callisto, BlueCharlie (TAG-53), Calisto (Callisto), Dancing Salome, Gossamer Bear, Star Blizzard (entinen SEABORGIUM), TA446 ja UNC4057, on ollut aktiivinen vuodesta 2019. Sen tavoitteet kattavat useita sektoreita, mukaan lukien korkeakoulut, puolustus, hallintoelimet, kansalaisjärjestöt, ajatushautomot, poliittiset tahot ja viime aikoina puolustus-, teollisuus- ja energialaitokset.

Spear-phishing-taktiikka, jota COLDRIVER käyttää haittaohjelmien toimittamiseen

Ryhmän järjestämät keihäs-phishing-kampanjat on suunniteltu saamaan yhteys mahdollisiin uhreihin ja rakentamaan luottamusta heidän kanssaan. Perimmäisenä tavoitteena on jakaa vääriä kirjautumissivuja heidän valtuustietojensa keräämiseksi ja tileille pääsyn saamiseksi. Kyberrikollisryhmän on havaittu käyttävän palvelinpuolen komentosarjoja, jotka estävät toimittajien ohjaaman infrastruktuurin automaattisen tarkistuksen ja määrittävät kiinnostavat kohteet ennen kuin ne ohjataan tietojenkalastelualoitussivuille.

Uhkatoimija on käyttänyt hyvänlaatuisia PDF-dokumentteja lähtökohtana jo marraskuussa 2022 houkutellakseen kohteet avaamaan tiedostoja. COLDRIVER esittelee nämä asiakirjat uutena julkaisuna tai muuntyyppisenä artikkelina, jonka matkijatili aikoo julkaista, ja pyytää palautetta kohteelta. Kun käyttäjä avaa hyvänlaatuisen PDF-tiedoston, teksti näyttää salatulta.

Siinä tapauksessa vastaanottaja vastaa viestiin ja ilmoittaa, ettei hän voi lukea asiakirjaa, ja uhkatekijä vastaa linkillä väitettyyn salauksenpurkutyökaluun ("Proton-decrypter.exe"), jota isännöidään pilvitallennuspalvelussa. Nimen "Proton-decrypter.exe" valinta on huomionarvoista, koska vastustaja käyttää pääasiassa Proton Drivea lähettääkseen PDF-vieheet tietojenkalasteluviestien kautta.

SPICA-takaovi pudotetaan salauksen purkajan varjolla

Todellisuudessa salauksenpurkuohjelma toimii takaoven uhkana, joka tunnetaan nimellä SPICA, jolloin COLDRIVER pääsee huomaamattomasti järjestelmään ja esittää samalla houkutusasiakirjan petoksen ylläpitämiseksi. SPICA, COLDRIVERin ensimmäinen räätälöity haittaohjelma, käyttää JSON-protokollaa WebSockets for Command-and-Control (C2) -sovelluksiin helpottaen erilaisia toimintoja, kuten mielivaltaisten komentotulkkikomentojen suorittamista, evästeiden varastamista verkkoselaimista, tiedostojen lataamista ja lataamista sekä tietojen luetteloimista ja suodattamista. Pysyvyys vahvistetaan ajoitetun tehtävän avulla.

Suorituksen yhteydessä SPICA purkaa upotetun PDF-tiedoston, tallentaa sen levylle ja avaa sen houkutusvälineeksi käyttäjälle. Samanaikaisesti se luo pysyvyyden ja käynnistää ensisijaisen C2-silmukan, joka odottaa komentoja suoritettavaksi taustalla.

Todisteet viittaavat siihen, että kansallisvaltion toimija alkoi käyttää tätä implanttia jo marraskuussa 2022. Kyberturvallisuustiimi on tunnistanut useita "salatun" PDF-vieheen muunnelmia, mikä viittaa siihen, että SPICA:sta on mahdollisesti olemassa erilaisia versioita, jotka on räätälöity tiettyihin kohteille lähetettyihin vieheasiakirjoihin. .

Tutkijat epäilevät, että SPICA Backdooria on käytetty erittäin kohdistetuissa ja rajoitetuissa hyökkäyksissä, joissa keskitytään merkittäviin henkilöihin kansalaisjärjestöissä, entisiin tiedustelu- ja sotilasviranomaisiin, puolustussektoriin ja Naton hallitukseen.