SPICA Backdoor

តួសម្តែងការគំរាមកំហែង COLDRIVER ដែលមានទំនាក់ទំនងជាមួយរុស្ស៊ី ត្រូវបានគេសង្កេតឃើញពង្រីកប្រតិបត្តិការរបស់ខ្លួនលើសពីការប្រមូលផលដែលអាចបញ្ជាក់បាន។ វាបានណែនាំមេរោគផ្ទាល់ខ្លួនដំបូងរបស់ខ្លួនដែលត្រូវបានបង្កើតឡើងនៅក្នុងភាសាកម្មវិធី Rust ដែលកំពុងត្រូវបានតាមដានជា SPICA backdoor ។ យុទ្ធសាស្ត្រវាយប្រហារដែលភ្ជាប់ជាមួយ COLDRIVER ប្រើប្រាស់ PDFs ជាឯកសារបោកបញ្ឆោត ដើម្បីចាប់ផ្តើមដំណើរការឆ្លងមេរោគ ជាមួយនឹងអ៊ីមែលបោកប្រាស់ដែលមានប្រភពមកពីគណនីក្លែងបន្លំ។

COLDRIVER ដែលត្រូវបានទទួលស្គាល់ជា Blue Callisto, BlueCharlie (TAG-53), Calisto (Callisto), Dancing Salome, Gossamer Bear, Star Blizzard (អតីត SEABORGIUM), TA446 និង UNC4057 បានដំណើរការតាំងពីឆ្នាំ 2019 មក។ គោលដៅរបស់វាលាតសន្ធឹងលើវិស័យចម្រុះ។ រួមទាំងវិស័យអប់រំ វិស័យការពារជាតិ អង្គភាពរដ្ឋាភិបាល អង្គការមិនមែនរដ្ឋាភិបាល ស្ថាប័នគិត អង្គភាពនយោបាយ និងថ្មីៗនេះ វិស័យការពារជាតិ-ឧស្សាហកម្ម និងថាមពល។

Spear-Phishing Tactics ប្រើប្រាស់ដោយ COLDRIVER ដើម្បីចែកចាយមេរោគ

យុទ្ធនាការ Spear-phishing ដែលធ្វើឡើងដោយក្រុមត្រូវបានរចនាឡើងដើម្បីចូលរួម និងកសាងទំនុកចិត្តជាមួយជនរងគ្រោះនាពេលអនាគត ជាមួយនឹងគោលដៅចុងក្រោយនៃការចែករំលែកទំព័រចូលក្លែងក្លាយ ដើម្បីប្រមូលព័ត៌មានអត្តសញ្ញាណរបស់ពួកគេ និងទទួលបានសិទ្ធិចូលប្រើគណនី។ ក្រុមឧក្រិដ្ឋកម្មតាមអ៊ីនធឺណិតត្រូវបានគេសង្កេតឃើញដោយប្រើស្គ្រីបផ្នែកខាងម៉ាស៊ីនមេ ដើម្បីការពារការស្កេនដោយស្វ័យប្រវត្តិនៃហេដ្ឋារចនាសម្ព័ន្ធដែលគ្រប់គ្រងដោយតួអង្គ និងកំណត់គោលដៅនៃការចាប់អារម្មណ៍ មុនពេលបញ្ជូនពួកគេទៅកាន់ទំព័រចុះចតបន្លំ។

តួអង្គគំរាមកំហែងបាននឹងកំពុងប្រើប្រាស់ឯកសារ PDF ស្លូតបូតជាចំណុចចាប់ផ្តើមរហូតដល់ខែវិច្ឆិកា ឆ្នាំ 2022 ដើម្បីទាក់ទាញគោលដៅឱ្យបើកឯកសារ។ COLDRIVER បង្ហាញឯកសារទាំងនេះជា op-ed ថ្មី ឬអត្ថបទប្រភេទផ្សេងទៀតដែលគណនីក្លែងបន្លំកំពុងស្វែងរកការបោះពុម្ព ដោយស្នើសុំមតិកែលម្អពីគោលដៅ។ ពេល​អ្នក​ប្រើ​បើក PDF ដ៏​ល្អ​នោះ អត្ថបទ​នឹង​លេច​ចេញ​ជា​អក្សរ​សម្ងាត់។

នៅក្នុងព្រឹត្តិការណ៍នោះ អ្នកទទួលឆ្លើយតបនឹងសារដែលបញ្ជាក់ថាពួកគេមិនអាចអានឯកសារបានទេ ហើយអ្នកគំរាមកំហែងឆ្លើយតបជាមួយនឹងតំណភ្ជាប់ទៅកាន់ឧបករណ៍ឌិគ្រីបដែលបានអះអាង ('Proton-decrypter.exe') ដែលបង្ហោះនៅលើសេវាផ្ទុកពពក។ ជម្រើសនៃឈ្មោះ 'Proton-decrypter.exe' គឺគួរឱ្យកត់សម្គាល់ព្រោះសត្រូវភាគច្រើនប្រើ Proton Drive ដើម្បីផ្ញើការទាក់ទាញ PDF តាមរយៈសារបន្លំ។

SPICA Backdoor ត្រូវបានទម្លាក់នៅក្រោមការយល់ឃើញរបស់អ្នកឌិគ្រីប

តាមពិតទៅ ឧបករណ៍ឌិគ្រីបមានមុខងារជាការគំរាមកំហែងផ្នែកខាងក្រោយដែលគេស្គាល់ថាជា SPICA ដែលអនុញ្ញាតឱ្យ COLDRIVER ចូលទៅកាន់ប្រព័ន្ធដោយសម្ងាត់ ក្នុងពេលដំណាលគ្នាបង្ហាញឯកសារបញ្ឆោត ដើម្បីរក្សាការបោកប្រាស់។ SPICA ដែលជាមេរោគផ្ទាល់ខ្លួនដំបូងបង្អស់របស់ COLDRIVER ប្រើប្រាស់ JSON លើ WebSockets សម្រាប់ Command-and-Control (C2) ដែលសម្របសម្រួលសកម្មភាពផ្សេងៗដូចជាការប្រតិបត្តិពាក្យបញ្ជាសែលតាមអំពើចិត្ត ការលួចចម្លង cookies ពីកម្មវិធីរុករកតាមអ៊ីនធឺណិត ការបង្ហោះ និងទាញយកឯកសារ និងការរាប់បញ្ចូល និងការទាញយកទិន្នន័យ។ ការតស៊ូត្រូវបានបង្កើតឡើងតាមរយៈកិច្ចការដែលបានកំណត់ពេល។

នៅពេលប្រតិបត្តិ SPICA ឌិកូដ PDF ដែលបានបង្កប់ រក្សាទុកវាទៅក្នុងឌីស ហើយបើកវាជាការបញ្ឆោតសម្រាប់អ្នកប្រើប្រាស់។ ក្នុងពេលដំណាលគ្នា វាបង្កើតការតស៊ូ និងចាប់ផ្តើមរង្វិលជុំ C2 បឋម ដោយរង់ចាំពាក្យបញ្ជាសម្រាប់ប្រតិបត្តិក្នុងផ្ទៃខាងក្រោយ។

ភ័ស្តុតាងបង្ហាញថា តួអង្គជាតិ-រដ្ឋ បានចាប់ផ្តើមប្រើការផ្សាំនេះនៅដើមខែវិច្ឆិកា ឆ្នាំ 2022។ ក្រុមសន្តិសុខតាមអ៊ីនធឺណិតបានកំណត់អត្តសញ្ញាណប្រភេទជាច្រើននៃ 'encrypted' lure PDF ដោយបង្ហាញពីអត្ថិភាពនៃកំណែផ្សេងៗគ្នានៃ SPICA ដែលតម្រូវតាមឯកសារទាក់ទាញជាក់លាក់ដែលបានផ្ញើទៅកាន់គោលដៅ។ .

អ្នកស្រាវជ្រាវសង្ស័យថា SPICA Backdoor ត្រូវបានប្រើប្រាស់ក្នុងការវាយប្រហារដែលមានគោលដៅខ្ពស់ និងមានកម្រិត ដោយផ្តោតលើបុគ្គលលេចធ្លោនៅក្នុងអង្គការក្រៅរដ្ឋាភិបាល អតីតមន្ត្រីចារកម្ម និងយោធា វិស័យការពារជាតិ និងរដ្ឋាភិបាលណាតូ។