SPICA galinės durys

Buvo pastebėta, kad grėsmių veikėjas COLDRIVER, susijęs su Rusija, plečia savo veiklą ne tik renkant įgaliojimus. Ji pristatė savo pirmąją pritaikytą kenkėjišką programą, sukurtą Rust programavimo kalba, kuri yra stebima kaip SPICA užpakalinės durys. Su COLDRIVER susietos atakos strategijos naudoja PDF kaip apgaulės dokumentus, kad būtų inicijuojama užkrėtimo seka, o apgaulingi el. laiškai gaunami iš apsimetinėjimo paskyrų.

COLDRIVER, kitaip žinomas kaip Blue Callisto, BlueCharlie (TAG-53), Calisto (Callisto), Dancing Salome, Gossamer Bear, Star Blizzard (anksčiau SEABORGIUM), TA446 ir UNC4057, veikia nuo 2019 m. Jo taikiniai apima įvairius sektorius, įskaitant akademinę bendruomenę, gynybą, vyriausybinius subjektus, nevyriausybines organizacijas, ekspertų grupes, politinius subjektus ir, pastaruoju metu, gynybos, pramonės ir energetikos objektus.

COLDRIVER naudojama sukčiavimo ietis taktika kenkėjiškų programų pristatymui

Grupės vykdomos sukčiavimo sukčiavimo kampanijos skirtos potencialioms aukoms sudominti ir su jomis pasitikėti, siekiant galutinio tikslo dalytis netikrais prisijungimo puslapiais, kad būtų surinkti jų kredencialai ir prieiga prie paskyrų. Buvo pastebėta, kad elektroninių nusikaltimų grupė naudoja serverio scenarijus, kad užkirstų kelią automatiniam veikėjo valdomos infrastruktūros nuskaitymui ir nustatytų dominančius objektus prieš nukreipiant juos į sukčiavimo nukreipimo puslapius.

Grėsmės veikėjas naudojo gerus PDF dokumentus kaip atspirties tašką dar 2022 m. lapkričio mėn., kad priviliotų taikinius atidaryti failus. COLDRIVER pateikia šiuos dokumentus kaip naują ar kitokio tipo straipsnį, kurį apsimetinėjimo paskyra nori paskelbti, prašydama pateikti naudotojo atsiliepimą. Kai vartotojas atidaro nekenksmingą PDF, tekstas atrodo užšifruotas.

Tokiu atveju gavėjas atsako į pranešimą, nurodydamas, kad negali perskaityti dokumento, o grėsmės veikėjas atsako pateikdamas nuorodą į tariamą iššifravimo įrankį („Proton-decrypter.exe“), priglobtą debesies saugyklos paslaugoje. Pavadinimo „Proton-decrypter.exe“ pasirinkimas yra pastebimas, nes priešas daugiausia naudoja Proton Drive, kad nusiųstų PDF masalus per sukčiavimo pranešimus.

SPICA Backdoor yra nuleistas prisidengiant iššifruotoju

Tiesą sakant, iššifravimo priemonė veikia kaip užpakalinių durų grėsmė, žinoma kaip SPICA, leidžianti COLDRIVER diskretiškai pasiekti sistemą ir tuo pat metu pateikti apgaulės dokumentą, kad būtų išlaikyta apgaulė. SPICA, COLDRIVER inauguracinė tinkinta kenkėjiška programa, naudoja JSON per WebSockets for Command-and-Control (C2), palengvindama įvairius veiksmus, pvz., savavališkų apvalkalo komandų vykdymą, slapukų grobimą iš žiniatinklio naršyklių, failų įkėlimą ir atsisiuntimą, duomenų surašymą ir išfiltravimą. Patvarumas nustatomas atliekant suplanuotą užduotį.

Vykdant SPICA iššifruoja įdėtą PDF failą, išsaugo jį diske ir atidaro kaip apgaulę vartotojui. Tuo pačiu metu jis nustato atkaklumą ir inicijuoja pirminę C2 kilpą, laukdamas komandų, skirtų vykdyti fone.

Įrodymai rodo, kad nacionalinės valstybės veikėjas šį implantą pradėjo naudoti dar 2022 m. lapkričio mėn. Kibernetinio saugumo komanda nustatė kelis „šifruoto“ PDF masalo variantus, rodančius, kad gali būti skirtingų SPICA versijų, pritaikytų konkretiems objektams siunčiamiems viliojimo dokumentams. .

Tyrėjai įtaria, kad SPICA Backdoor buvo panaudotas labai tikslinėse ir ribotose atakose, daugiausia dėmesio skiriant žymiems asmenims NVO, buvusiems žvalgybos ir kariniams pareigūnams, gynybos sektoriams ir NATO vyriausybėms.