SPICA hátsó ajtó

Az Oroszországhoz kötődő COLDRIVER fenyegetettségről azt figyelték meg, hogy a bizonyítványgyűjtésen túl is kiterjeszti tevékenységét. Bevezette első, a Rust programozási nyelven kifejlesztett, egyedi kártevőjét, amelyet SPICA hátsó ajtóként követnek nyomon. A COLDRIVER-hez társított támadási stratégiák PDF-eket használnak csalidokumentumként a fertőzési szekvencia elindításához, a megtévesztő e-mailek pedig megszemélyesítési fiókokból származnak.

A COLDRIVER, más néven Blue Callisto, BlueCharlie (TAG-53), Calisto (Callisto), Dancing Salome, Gossamer Bear, Star Blizzard (korábban SEABORGIUM), TA446 és UNC4057, 2019 óta működik. Céljai különböző ágazatokat ölelnek fel, ideértve a tudományos életet, a védelmet, a kormányzati szerveket, a nem kormányzati szervezeteket, az agytrösztöket, a politikai entitásokat és újabban a védelmi-ipari és energetikai létesítményeket.

A COLDRIVER által használt lándzsás adathalász taktika a rosszindulatú programok továbbítására

A csoport által szervezett adathalász kampányok célja a potenciális áldozatokkal való kapcsolatteremtés és a velük való bizalom kialakítása azzal a végső céllal, hogy megosszák a hamis bejelentkezési oldalakat, hogy begyűjtsék hitelesítő adataikat és hozzáférjenek a fiókokhoz. A kiberbűnözőket megfigyelték, hogy szerveroldali szkripteket használnak, hogy megakadályozzák a szereplők által vezérelt infrastruktúra automatikus vizsgálatát, és meghatározzák az érdeklődésre számot tartó célpontokat, mielőtt átirányítanák őket az adathalász céloldalakra.

A fenyegetés szereplője már 2022 novemberében jóindulatú PDF-dokumentumokat használt kiindulópontként, hogy rávegye a célpontokat a fájlok megnyitására. A COLDRIVER ezeket a dokumentumokat új op-edként vagy más típusú cikkként mutatja be, amelyet a megszemélyesítési fiók közzé kíván tenni, és visszajelzést kér a célponttól. Amikor a felhasználó megnyitja a jóindulatú PDF-fájlt, a szöveg titkosítva jelenik meg.

Ebben az esetben a címzett válaszol az üzenetre, és kijelenti, hogy nem tudja elolvasni a dokumentumot, és a fenyegetés szereplője egy állítólagos visszafejtő eszközre („Proton-decrypter.exe”) mutató hivatkozással válaszol, amely egy felhőalapú tárolási szolgáltatáson található. A „Proton-decrypter.exe” név választása figyelemre méltó, mert az ellenfél túlnyomórészt Proton Drive-ot használ a PDF csalik elküldésére az adathalász üzeneteken keresztül.

A SPICA hátsó ajtót egy visszafejtő leple alatt dobták el

Valójában a visszafejtő SPICA néven ismert hátsó ajtó fenyegetésként működik, lehetővé téve a COLDRIVER számára, hogy diszkréten hozzáférjen a rendszerhez, miközben egy csali dokumentumot mutat be a megtévesztés fenntartása érdekében. A SPICA, a COLDRIVER bevezető egyéni rosszindulatú programja a JSON-t WebSockets for Command-and-Control (C2) segítségével használja, megkönnyítve különféle műveleteket, például tetszőleges shell-parancsok végrehajtását, cookie-k ellopását a webböngészőkből, fájlok feltöltését és letöltését, valamint adatok felsorolását és kiszűrését. A kitartás egy ütemezett feladaton keresztül jön létre.

Végrehajtáskor a SPICA dekódolja a beágyazott PDF-et, elmenti a lemezre, és csaliként megnyitja a felhasználó számára. Ezzel egyidejűleg létrehozza a perzisztenciát, és elindítja az elsődleges C2 hurkot, a háttérben várva a végrehajtáshoz szükséges parancsokat.

A bizonyítékok arra utalnak, hogy a nemzetállami szereplő már 2022 novemberében elkezdte használni ezt az implantátumot. A kiberbiztonsági csapat a „titkosított” PDF csali több változatát azonosította, jelezve a SPICA különböző verzióinak létezését, amelyek a célpontoknak küldött, konkrét csalogató dokumentumokhoz lettek igazítva. .

A kutatók azt gyanítják, hogy a SPICA Backdoort erősen célzott és korlátozott támadásokhoz alkalmazták, elsősorban a nem kormányzati szervezeteken belüli prominens személyekre, a volt hírszerzési és katonai tisztviselőkre, a védelmi szektorokra és a NATO kormányaira.