스피카 백도어

러시아와 연계된 위협 행위자 COLDRIVER가 자격 증명 수집 이상의 활동을 확장하는 것이 관찰되었습니다. 이는 SPICA 백도어로 추적되고 있는 Rust 프로그래밍 언어로 개발된 최초의 맞춤형 악성코드를 선보였습니다. COLDRIVER와 관련된 공격 전략은 PDF를 미끼 문서로 활용하여 감염 시퀀스를 시작하며 사기성 이메일은 사칭 계정에서 시작됩니다.

Blue Callisto, BlueCharlie(TAG-53), Calisto(Callisto), Dancing Salome, Gossamer Bear, Star Blizzard(이전 SEABORGIUM), TA446 및 UNC4057로도 인식되는 COLDRIVER는 2019년부터 활동해 왔습니다. 대상은 다양한 부문에 걸쳐 있습니다. 학계, 국방, 정부 기관, 비정부 기관, 싱크 탱크, 정치 기관, 그리고 최근에는 방위 산업 및 에너지 시설을 포함합니다.

COLDRIVER가 멀웨어를 전달하기 위해 사용하는 스피어 피싱 전술

그룹이 진행하는 스피어 피싱 캠페인은 가짜 로그인 페이지를 공유하여 자격 증명을 수집하고 계정에 액세스하는 것을 궁극적인 목표로 삼아 잠재 피해자와 소통하고 신뢰를 구축하도록 설계되었습니다. 사이버 범죄 그룹은 공격자가 제어하는 인프라의 자동 검색을 방지하고 피싱 랜딩 페이지로 리디렉션하기 전에 관심 대상을 결정하기 위해 서버 측 스크립트를 사용하는 것이 관찰되었습니다.

위협 행위자는 대상이 파일을 열도록 유인하기 위해 2022년 11월부터 무해한 PDF 문서를 출발점으로 사용해 왔습니다. COLDRIVER는 이러한 문서를 새로운 논평이나 명의 도용 계정이 게시하려는 다른 유형의 기사로 제시하여 대상에게 피드백을 요청합니다. 사용자가 무해한 PDF를 열면 텍스트가 암호화된 것으로 나타납니다.

이 경우 수신자는 문서를 읽을 수 없다는 메시지에 응답하고 위협 행위자는 클라우드 스토리지 서비스에 호스팅된 것으로 알려진 암호 해독 도구('Proton-decrypter.exe')에 대한 링크로 응답합니다. 'Proton-decrypter.exe'라는 이름을 선택한 것은 공격자가 주로 Proton Drive를 사용하여 피싱 메시지를 통해 PDF 미끼를 보내기 때문에 주목할 만합니다.

SPICA 백도어는 암호 해독기로 가장하여 삭제됩니다.

실제로 이 암호 해독기는 SPICA로 알려진 백도어 위협으로 기능하여 COLDRIVER가 시스템에 은밀하게 접근하는 동시에 속임수를 유지하기 위한 미끼 문서를 제공할 수 있습니다. COLDRIVER의 첫 번째 맞춤형 악성 코드인 SPICA는 명령 및 제어(C2)를 위해 WebSocket을 통해 JSON을 활용하여 임의의 셸 명령 실행, 웹 브라우저에서 쿠키 훔치기, 파일 업로드 및 다운로드, 데이터 열거 및 유출과 같은 다양한 작업을 촉진합니다. 지속성은 예약된 작업을 통해 설정됩니다.

실행 시 SPICA는 포함된 PDF를 디코딩하여 디스크에 저장하고 사용자를 위한 미끼로 엽니다. 동시에 지속성을 설정하고 기본 C2 루프를 시작하여 백그라운드에서 실행될 명령을 기다립니다.

증거에 따르면 국가 행위자가 이르면 2022년 11월부터 이 임플란트를 사용하기 시작했습니다. 사이버 보안 팀은 '암호화된' PDF 미끼의 여러 변종을 식별했으며, 이는 대상에게 전송된 특정 미끼 문서에 맞춰진 다양한 버전의 SPICA가 존재할 수 있음을 나타냅니다. .

연구원들은 SPICA 백도어가 NGO 내 주요 개인, 전직 정보 및 군 관계자, 국방 부문 및 NATO 정부에 초점을 맞춰 고도로 표적화되고 제한된 공격에 사용된 것으로 의심합니다.