SPICA stražnja vrata

Prijetnja COLDRIVER, povezana s Rusijom, primijećena je kako širi svoje operacije izvan prikupljanja vjerodajnica. Predstavio je svoj prvi prilagođeni malware razvijen u programskom jeziku Rust koji se prati kao SPICA backdoor. Strategije napada povezane s COLDRIVER-om koriste PDF-ove kao dokumente mamce za pokretanje slijeda zaraze, s lažnim e-porukama koje potječu iz lažnih računa.

COLDRIVER, alternativno prepoznat kao Blue Callisto, BlueCharlie (TAG-53), Calisto (Callisto), Dancing Salome, Gossamer Bear, Star Blizzard (bivši SEABORGIUM), TA446 i UNC4057, aktivan je od 2019. Njegovi ciljevi obuhvaćaju različite sektore, uključujući akademsku zajednicu, obranu, vladine subjekte, nevladine organizacije, think tankove, političke subjekte i, u novije vrijeme, obrambeno-industrijske i energetske objekte.

Taktike phishinga koje COLDRIVER koristi za isporuku zlonamjernog softvera

Kampanje krađe identiteta koje je organizirala grupa osmišljene su za angažiranje i izgradnju povjerenja potencijalnih žrtava s krajnjim ciljem dijeljenja lažnih stranica za prijavu kako bi se prikupile njihove vjerodajnice i dobio pristup računima. Skupina kibernetičkog kriminala primijećena je kako koristi skripte na strani poslužitelja kako bi spriječila automatsko skeniranje infrastrukture koju kontroliraju akteri i odredila ciljeve od interesa prije nego što ih preusmjeri na odredišne stranice za krađu identiteta.

Glumac prijetnje koristio je benigne PDF dokumente kao polazište još u studenom 2022. da navede mete da otvore datoteke. COLDRIVER predstavlja ove dokumente kao novi komentar ili drugu vrstu članka koji račun lažnog predstavljanja želi objaviti, tražeći povratne informacije od cilja. Kada korisnik otvori benigni PDF, tekst se pojavljuje šifriran.

U tom slučaju, primatelj odgovara na poruku navodeći da ne može pročitati dokument, a akter prijetnje odgovara vezom na navodni alat za dešifriranje ('Proton-decrypter.exe') koji se nalazi na usluzi za pohranu u oblaku. Odabir naziva 'Proton-decrypter.exe' značajan je jer protivnik uglavnom koristi Proton Drive za slanje PDF mamaca putem phishing poruka.

SPICA Backdoor je odbačen pod krinkom dekriptera

U stvari, dekriptor funkcionira kao backdoor prijetnja poznata kao SPICA, dopuštajući COLDRIVER-u da diskretno pristupi sustavu dok istovremeno predstavlja dokument mamac za održavanje prijevare. SPICA, inauguralni prilagođeni zlonamjerni softver COLDRIVER-a, koristi JSON preko WebSockets za Command-and-Control (C2), olakšavajući različite radnje kao što su izvršavanje proizvoljnih naredbi ljuske, krađa kolačića iz web preglednika, učitavanje i preuzimanje datoteka te nabrajanje i ekstrakcija podataka. Upornost se uspostavlja kroz planirani zadatak.

Nakon izvršenja, SPICA dekodira ugrađeni PDF, sprema ga na disk i otvara ga kao mamac za korisnika. Istovremeno, uspostavlja postojanost i pokreće primarnu C2 petlju, čekajući naredbe za izvršenje u pozadini.

Dokazi upućuju na to da je akter nacionalne države počeo koristiti ovaj implantat već u studenom 2022. Tim za kibernetičku sigurnost identificirao je više varijanti 'šifriranog' PDF mamca, što ukazuje na moguće postojanje različitih verzija SPICA-e prilagođenih specifičnim dokumentima mamaca koji se šalju metama .

Istraživači sumnjaju da je SPICA Backdoor korišten u vrlo ciljanim i ograničenim napadima, s fokusom na istaknute pojedince unutar nevladinih organizacija, bivše obavještajne i vojne dužnosnike, obrambene sektore i NATO vlade.