SPICA aizmugures durvis

Ir novērots, ka draudu aktieris COLDRIVER, kas saistīts ar Krieviju, paplašina savu darbību ārpus akreditācijas datu iegūšanas. Tā ir ieviesusi savu pirmo pielāgoto ļaunprogrammatūru, kas izstrādāta Rust programmēšanas valodā, kas tiek izsekota kā SPICA aizmugures durvis. Ar COLDRIVER saistītās uzbrukuma stratēģijas izmanto PDF failus kā mānekļus, lai sāktu inficēšanās secību, un maldinošie e-pasta ziņojumi tiek saņemti no kontiem, kuros uzdodas par citu personu.

COLDRIVER, alternatīvi pazīstams kā Blue Callisto, BlueCharlie (TAG-53), Calisto (Callisto), Dancing Salome, Gossamer Bear, Star Blizzard (agrāk SEABORGIUM), TA446 un UNC4057, ir aktīvs kopš 2019. gada. Tā mērķi aptver dažādas nozares, tostarp akadēmiskās aprindas, aizsardzība, valdības struktūras, nevalstiskās organizācijas, ideju laboratorijas, politiskās vienības un pēdējā laikā aizsardzības, rūpniecības un enerģētikas objekti.

Šķēpu pikšķerēšanas taktika, ko COLDRIVER izmanto, lai nodrošinātu ļaunprātīgu programmatūru

Grupas izveidotās pikšķerēšanas kampaņas ir paredzētas, lai piesaistītu potenciālos upurus un veidotu uzticēšanos ar tiem, kuru galvenais mērķis ir koplietot viltus pierakstīšanās lapas, lai iegūtu viņu akreditācijas datus un piekļūtu kontiem. Kibernoziegumu grupa ir novērota, izmantojot servera puses skriptus, lai novērstu dalībnieku kontrolētās infrastruktūras automātisku skenēšanu un noteiktu interesējošos mērķus, pirms tie tiek novirzīti uz pikšķerēšanas galvenajām lapām.

Draudi aktieris ir izmantojis labdabīgus PDF dokumentus kā sākumpunktu jau 2022. gada novembrī, lai mudinātu mērķus atvērt failus. COLDRIVER piedāvā šos dokumentus kā jaunu opciju vai cita veida rakstu, ko uzdošanās konts vēlas publicēt, lūdzot atsauksmes no mērķa. Kad lietotājs atver labdabīgo PDF failu, teksts parādās šifrēts.

Šādā gadījumā adresāts atbild uz ziņojumu, norādot, ka nevar izlasīt dokumentu, un apdraudējuma dalībnieks atbild ar saiti uz šķietamo atšifrēšanas rīku (Proton-decrypter.exe), kas mitināts mākoņkrātuves pakalpojumā. Nosaukuma “Proton-decrypter.exe” izvēle ir ievērojama, jo pretinieks pārsvarā izmanto Proton Drive, lai nosūtītu PDF vilinājumus, izmantojot pikšķerēšanas ziņojumus.

SPICA aizmugures durvis tiek nomestas atšifrētāja aizsegā

Faktiski atšifrētājs darbojas kā aizmugures apdraudējums, kas pazīstams kā SPICA, ļaujot COLDRIVER diskrēti piekļūt sistēmai, vienlaikus uzrādot mānekļu dokumentu, lai saglabātu maldināšanu. SPICA, COLDRIVER inaugurācijas pielāgotā ļaunprogrammatūra, izmanto JSON, izmantojot WebSockets Command-and-Control (C2), atvieglojot dažādas darbības, piemēram, patvaļīgu čaulas komandu izpildi, sīkfailu zagšanu no tīmekļa pārlūkprogrammām, failu augšupielādi un lejupielādi, kā arī datu uzskaiti un izfiltrēšanu. Noturība tiek noteikta, izmantojot ieplānotu uzdevumu.

Pēc izpildes SPICA atkodē iegulto PDF failu, saglabā to diskā un atver to kā mānekli lietotājam. Vienlaikus tas nosaka noturību un uzsāk primāro C2 cilpu, gaidot komandas izpildei fonā.

Pierādījumi liecina, ka nacionālās valsts dalībnieks sāka lietot šo implantu jau 2022. gada novembrī. Kiberdrošības komanda ir identificējusi vairākus “šifrētās” PDF vilinājuma variantus, norādot uz iespējamu dažādu SPICA versiju esamību, kas pielāgota konkrētiem pievilināšanas dokumentiem, kas nosūtīti mērķiem. .

Pētniekiem ir aizdomas, ka SPICA Backdoor ir izmantots ļoti mērķtiecīgos un ierobežotos uzbrukumos, koncentrējoties uz ievērojamām personām NVO, bijušajām izlūkošanas un militārajām amatpersonām, aizsardzības nozarēm un NATO valdībām.