स्पिका बैकडोर
रूस से जुड़े ख़तरनाक अभिनेता COLDRIVER को क्रेडेंशियल हार्वेस्टिंग से परे अपने कार्यों का विस्तार करते हुए देखा गया है। इसने रस्ट प्रोग्रामिंग भाषा में विकसित अपना पहला कस्टम मैलवेयर पेश किया है जिसे SPICA बैकडोर के रूप में ट्रैक किया जा रहा है। COLDRIVER से जुड़ी हमले की रणनीतियाँ संक्रमण अनुक्रम शुरू करने के लिए नकली दस्तावेजों के रूप में पीडीएफ का उपयोग करती हैं, जिसमें प्रतिरूपण खातों से भ्रामक ईमेल उत्पन्न होते हैं।
कोल्ड्रिवर, जिसे वैकल्पिक रूप से ब्लू कैलिस्टो, ब्लूचार्ली (TAG-53), कैलिस्टो (कैलिस्टो), डांसिंग सैलोम, गोस्समर बियर, स्टार ब्लिज़ार्ड (पूर्व में SEABORGIUM), TA446 और UNC4057 के रूप में जाना जाता है, 2019 से सक्रिय है। इसके लक्ष्य विभिन्न क्षेत्रों में फैले हुए हैं, जिसमें शिक्षा जगत, रक्षा, सरकारी संस्थाएं, गैर-सरकारी संगठन, थिंक टैंक, राजनीतिक संस्थाएं और, हाल ही में, रक्षा-औद्योगिक और ऊर्जा सुविधाएं शामिल हैं।
मैलवेयर वितरित करने के लिए कोल्ड्रिवर द्वारा उपयोग की जाने वाली स्पीयर-फ़िशिंग रणनीति
समूह द्वारा चलाए गए स्पीयर-फ़िशिंग अभियानों को संभावित पीड़ितों के साथ जुड़ने और विश्वास बनाने के लिए डिज़ाइन किया गया है, जिसका अंतिम लक्ष्य उनकी साख हासिल करने और खातों तक पहुंच प्राप्त करने के लिए फर्जी साइन-इन पेज साझा करना है। साइबर अपराध समूह को अभिनेता-नियंत्रित बुनियादी ढांचे की स्वचालित स्कैनिंग को रोकने और फ़िशिंग लैंडिंग पृष्ठों पर पुनर्निर्देशित करने से पहले रुचि के लक्ष्य निर्धारित करने के लिए सर्वर-साइड स्क्रिप्ट का उपयोग करते हुए देखा गया है।
धमकी देने वाला अभिनेता नवंबर 2022 से ही लक्ष्य को फ़ाइलें खोलने के लिए लुभाने के लिए शुरुआती बिंदु के रूप में सौम्य पीडीएफ दस्तावेज़ों का उपयोग कर रहा है। COLDRIVER इन दस्तावेज़ों को एक नए ऑप-एड या किसी अन्य प्रकार के लेख के रूप में प्रस्तुत करता है जिसे प्रतिरूपण खाता लक्ष्य से फीडबैक मांगते हुए प्रकाशित करना चाहता है। जब उपयोगकर्ता सौम्य पीडीएफ खोलता है, तो पाठ एन्क्रिप्टेड दिखाई देता है।
ऐसी स्थिति में, प्राप्तकर्ता संदेश का जवाब देते हुए कहता है कि वे दस्तावेज़ नहीं पढ़ सकते हैं और धमकी देने वाला व्यक्ति क्लाउड स्टोरेज सेवा पर होस्ट किए गए कथित डिक्रिप्शन टूल ('प्रोटॉन-डिक्रिप्टर.exe') के लिंक के साथ जवाब देता है। 'Proton-decrypter.exe' नाम का चुनाव उल्लेखनीय है क्योंकि प्रतिद्वंद्वी मुख्य रूप से फ़िशिंग संदेशों के माध्यम से पीडीएफ लालच भेजने के लिए प्रोटॉन ड्राइव का उपयोग करता है।
SPICA बैकडोर को डिक्रिप्टर की आड़ में गिरा दिया गया है
वास्तव में, डिक्रिप्टर एक पिछले दरवाजे के खतरे के रूप में कार्य करता है जिसे SPICA के नाम से जाना जाता है, जो COLDRIVER को धोखे को बनाए रखने के लिए एक फर्जी दस्तावेज़ पेश करते हुए सिस्टम तक गुप्त रूप से पहुंचने की अनुमति देता है। SPICA, COLDRIVER का पहला कस्टम मैलवेयर, कमांड-एंड-कंट्रोल (C2) के लिए WebSockets पर JSON का उपयोग करता है, जो मनमाने ढंग से शेल कमांड निष्पादित करने, वेब ब्राउज़र से कुकीज़ चुराने, फ़ाइलों को अपलोड करने और डाउनलोड करने और डेटा की गणना और एक्सफ़िल्टरिंग जैसी विभिन्न क्रियाओं को सुविधाजनक बनाता है। एक निर्धारित कार्य के माध्यम से दृढ़ता स्थापित की जाती है।
निष्पादन पर, SPICA एक एम्बेडेड पीडीएफ को डीकोड करता है, इसे डिस्क पर सहेजता है, और इसे उपयोगकर्ता के लिए एक डिकॉय के रूप में खोलता है। इसके साथ ही, यह दृढ़ता स्थापित करता है और प्राथमिक C2 लूप शुरू करता है, पृष्ठभूमि में निष्पादन के लिए आदेशों की प्रतीक्षा करता है।
सबूत बताते हैं कि राष्ट्र-राज्य अभिनेता ने नवंबर 2022 की शुरुआत में इस प्रत्यारोपण का उपयोग करना शुरू कर दिया था। साइबर सुरक्षा टीम ने 'एन्क्रिप्टेड' पीडीएफ लालच के कई प्रकारों की पहचान की है, जो लक्ष्यों को भेजे गए विशिष्ट लालच दस्तावेजों के अनुरूप SPICA के विभिन्न संस्करणों के संभावित अस्तित्व का संकेत देता है। .
शोधकर्ताओं को संदेह है कि SPICA बैकडोर को अत्यधिक लक्षित और सीमित हमलों में नियोजित किया गया है, जिसमें गैर सरकारी संगठनों, पूर्व खुफिया और सैन्य अधिकारियों, रक्षा क्षेत्रों और नाटो सरकारों के प्रमुख व्यक्तियों पर ध्यान केंद्रित किया गया है।
