SPICA Porta sul retro

È stato osservato che l'autore della minaccia COLDRIVER, legato alla Russia, espande le sue operazioni oltre la raccolta di credenziali. Ha introdotto il suo primo malware personalizzato sviluppato nel linguaggio di programmazione Rust che viene tracciato come backdoor SPICA. Le strategie di attacco associate a COLDRIVER utilizzano i PDF come documenti esca per avviare la sequenza dell'infezione, con e-mail ingannevoli provenienti da account di imitazione.

COLDRIVER, conosciuto alternativamente come Blue Callisto, BlueCharlie (TAG-53), Calisto (Callisto), Dancing Salome, Gossamer Bear, Star Blizzard (ex SEABORGIUM), TA446 e UNC4057, è attivo dal 2019. I suoi obiettivi abbracciano diversi settori, tra cui il mondo accademico, la difesa, gli enti governativi, le organizzazioni non governative, i think tank, gli enti politici e, più recentemente, le strutture dell’industria della difesa e dell’energia.

Tattiche di spear-phishing utilizzate da COLDRIVER per diffondere malware

Le campagne di spear phishing organizzate dal gruppo sono progettate per coinvolgere e creare fiducia con le potenziali vittime con l'obiettivo finale di condividere pagine di accesso fasulle per raccogliere le loro credenziali e ottenere l'accesso agli account. È stato osservato che il gruppo criminale informatico utilizza script lato server per impedire la scansione automatizzata dell'infrastruttura controllata dagli autori e determinare gli obiettivi di interesse prima di reindirizzarli alle pagine di destinazione del phishing.

L’autore della minaccia ha utilizzato documenti PDF innocui come punto di partenza già nel novembre 2022 per indurre gli obiettivi ad aprire i file. COLDRIVER presenta questi documenti come un nuovo editoriale o un altro tipo di articolo che l'account di imitazione sta cercando di pubblicare, chiedendo feedback al target. Quando l'utente apre il PDF benigno, il testo appare crittografato.

In tal caso, il destinatario risponde al messaggio affermando che non può leggere il documento e l'autore della minaccia risponde con un collegamento a un presunto strumento di decrittazione ("Proton-decrypter.exe") ospitato su un servizio di archiviazione cloud. La scelta del nome 'Proton-decrypter.exe' è degna di nota perché l'avversario utilizza prevalentemente Proton Drive per inviare esche PDF tramite messaggi di phishing.

La backdoor SPICA viene aperta sotto le mentite spoglie di un decrittatore

In realtà, il decrittatore funziona come una minaccia backdoor nota come SPICA, consentendo a COLDRIVER di accedere discretamente al sistema presentando contemporaneamente un documento esca per mantenere l'inganno. SPICA, il malware personalizzato inaugurale di COLDRIVER, utilizza JSON su WebSocket per Command-and-Control (C2), facilitando varie azioni come l'esecuzione di comandi shell arbitrari, il furto di cookie dai browser Web, il caricamento e il download di file e l'enumerazione e l'esfiltrazione di dati. La persistenza viene stabilita tramite un'attività pianificata.

Al momento dell'esecuzione, SPICA decodifica un PDF incorporato, lo salva sul disco e lo apre come esca per l'utente. Allo stesso tempo, stabilisce la persistenza e avvia il ciclo C2 primario, in attesa dei comandi per l'esecuzione in background.

Le prove suggeriscono che l’attore stato-nazione ha iniziato a utilizzare questo impianto già nel novembre 2022. Il team di sicurezza informatica ha identificato molteplici varianti dell’esca PDF “crittografato”, indicando la possibile esistenza di diverse versioni di SPICA adattate a specifici documenti di esca inviati agli obiettivi .

I ricercatori sospettano che la SPICA Backdoor sia stata impiegata in attacchi altamente mirati e limitati, con particolare attenzione a individui di spicco all’interno di ONG, ex funzionari dell’intelligence e militari, settori della difesa e governi della NATO.