SPICA דלת אחורית

שחקן האיום COLDRIVER, המקושר לרוסיה, נצפה מרחיב את פעילותו מעבר לקצירת אישורים. היא הציגה את התוכנה הזדונית המותאמת אישית הראשונה שלה שפותחה בשפת התכנות Rust, שנמצאת במעקב בתור הדלת האחורית של SPICA. אסטרטגיות ההתקפה הקשורות ל-COLDRIVER משתמשות בקובצי PDF כמסמכי פיתוי כדי ליזום את רצף ההדבקה, כאשר המיילים המטעים מקורם בחשבונות התחזות.

COLDRIVER, לחילופין מוכר כ-Blue Callisto, BlueCharlie (TAG-53), Calisto (Calisto), Dancing Salome, Gossamer Bear, Star Blizzard (לשעבר SEABORGIUM), TA446 ו-UNC4057, פעילה מאז 2019. היעדים שלה משתרעים על מגזרים מגוונים, כולל אקדמיה, ביטחון, גופים ממשלתיים, ארגונים לא ממשלתיים, צוותי חשיבה, גופים פוליטיים, ולאחרונה, מתקני תעשייה ביטחונית ואנרגיה.

טקטיקות התחזות בחנית המשמשות את COLDRIVER כדי לספק תוכנה זדונית

מסעות הפרסום של Spear-phishing שהוקמה על ידי הקבוצה נועדו לעסוק ולבנות אמון עם הקורבנות הפוטנציאליים במטרה סופית לשתף דפי כניסה מזויפים כדי לאסוף את האישורים שלהם ולהשיג גישה לחשבונות. קבוצת פשעי הסייבר נצפתה תוך שימוש בסקריפטים בצד השרת כדי למנוע סריקה אוטומטית של התשתית הנשלטת על ידי השחקנים ולקבוע יעדים לעניין לפני הפנייתם לדפי הנחיתה של התחזות.

שחקן האיום השתמש במסמכי PDF שפירים כנקודת התחלה כבר בנובמבר 2022 כדי לפתות את המטרות לפתוח את הקבצים. COLDRIVER מציג את המסמכים האלה כמאמר חדש או סוג אחר של מאמר שחשבון ההתחזות מבקש לפרסם, ומבקש משוב מהמטרה. כאשר המשתמש פותח את ה-PDF השפיר, הטקסט מופיע מוצפן.

במקרה, הנמען מגיב להודעה ומצהיר שהוא לא יכול לקרוא את המסמך ושחקן האיום מגיב עם קישור לכלי פענוח לכאורה ('Proton-decrypter.exe') המתארח בשירות אחסון בענן. הבחירה בשם 'Proton-decrypter.exe' בולטת מכיוון שהיריב משתמש בעיקר ב-Proton Drive כדי לשלוח את פתיונות ה-PDF דרך הודעות הדיוג.

הדלת האחורית SPICA נשמטת במסווה של מפענח

למעשה, המפענח מתפקד כאיום בדלת אחורית המכונה SPICA, ומאפשר ל-COLDRIVER לגשת בדיסקרטיות למערכת ובו זמנית להציג מסמך הטעיה כדי לשמור על ההונאה. SPICA, התוכנה הזדונית המותאמת אישית הראשונה של COLDRIVER, משתמשת ב-JSON מעל WebSockets עבור Command-and-Control (C2), ומאפשרת פעולות שונות כגון ביצוע פקודות מעטפת שרירותיות, גניבת קובצי Cookie מדפדפני אינטרנט, העלאה והורדה של קבצים, ספירה וחילוץ נתונים. התמדה נוצרת באמצעות משימה מתוזמנת.

עם הביצוע, SPICA מפענח PDF מוטבע, שומר אותו בדיסק ופותח אותו כפתיון למשתמש. במקביל, הוא מבסס התמדה ומתחיל את לולאת C2 הראשית, ממתין לפקודות לביצוע ברקע.

עדויות מצביעות על כך שהשחקן במדינת הלאום החל להשתמש בשתל זה כבר בנובמבר 2022. צוות אבטחת הסייבר זיהה גרסאות מרובות של פיתוי ה-PDF 'המוצפן', מה שמצביע על קיומן אפשרי של גרסאות שונות של SPICA המותאמות למסמכי פיתוי ספציפיים שנשלחו למטרות .

חוקרים חושדים ש-SPICA Backdoor הועסק בהתקפות ממוקדות ומוגבלות ביותר, תוך התמקדות באנשים בולטים בתוך ארגונים לא ממשלתיים, פקידי מודיעין וצבא לשעבר, מגזרי הגנה וממשלות נאט"ו.