Pintu Belakang SPICA

Aktor ancaman COLDRIVER, yang dikaitkan dengan Rusia, telah diperhatikan mengembangkan operasinya melangkaui penuaian kelayakan. Ia telah memperkenalkan perisian hasad tersuai pertamanya yang dibangunkan dalam bahasa pengaturcaraan Rust yang sedang dijejaki sebagai pintu belakang SPICA. Strategi serangan yang dikaitkan dengan COLDRIVER menggunakan PDF sebagai dokumen penipuan untuk memulakan urutan jangkitan, dengan e-mel mengelirukan yang berasal daripada akaun penyamaran.

COLDRIVER, secara alternatif diiktiraf sebagai Blue Callisto, BlueCharlie (TAG-53), Calisto (Calisto), Dancing Salome, Gossamer Bear, Star Blizzard (dahulunya SEABORGIUM), TA446 dan UNC4057, telah aktif sejak 2019. Sasarannya merangkumi pelbagai sektor, termasuk akademia, pertahanan, entiti kerajaan, pertubuhan bukan kerajaan, badan pemikir, entiti politik, dan, lebih baru-baru ini, kemudahan industri pertahanan dan tenaga.

Taktik Spear-Phishing Digunakan oleh COLDRIVER untuk Menyampaikan Perisian Hasad

Kempen pancingan lembing yang dipasang oleh kumpulan direka untuk melibatkan diri dan membina kepercayaan dengan bakal mangsa dengan matlamat utama untuk berkongsi halaman log masuk palsu untuk mendapatkan bukti kelayakan mereka dan mendapatkan akses kepada akaun. Kumpulan jenayah siber telah diperhatikan menggunakan skrip sebelah pelayan untuk menghalang pengimbasan automatik infrastruktur kawalan aktor dan menentukan sasaran yang diminati sebelum mengalihkannya ke halaman pendaratan pancingan data.

Aktor ancaman itu telah menggunakan dokumen PDF jinak sebagai titik permulaan sejak November 2022 untuk menarik sasaran supaya membuka fail. COLDRIVER membentangkan dokumen ini sebagai op-ed baharu atau jenis artikel lain yang ingin diterbitkan oleh akaun penyamaran, meminta maklum balas daripada sasaran. Apabila pengguna membuka PDF jinak, teks kelihatan disulitkan.

Sekiranya berlaku, penerima membalas mesej yang menyatakan mereka tidak boleh membaca dokumen dan pelaku ancaman bertindak balas dengan pautan ke alat penyahsulitan yang dikatakan ('Proton-decrypter.exe') yang dihoskan pada perkhidmatan storan awan. Pilihan nama 'Proton-decrypter.exe' adalah ketara kerana musuh kebanyakannya menggunakan Proton Drive untuk menghantar gewang PDF melalui mesej pancingan data.

Pintu Belakang SPICA Digugurkan Bertopengkan Penyahsulit

Sebenarnya, penyahsulitan berfungsi sebagai ancaman pintu belakang yang dikenali sebagai SPICA, membolehkan COLDRIVER mengakses sistem secara diam-diam sambil membentangkan dokumen penipuan untuk mengekalkan penipuan. SPICA, perisian hasad tersuai sulung COLDRIVER, menggunakan JSON melalui WebSockets for Command-and-Control (C2), memudahkan pelbagai tindakan seperti melaksanakan arahan shell sewenang-wenangnya, merompak kuki daripada pelayar web, memuat naik dan memuat turun fail serta menghitung dan mengeksfiltrasi data. Kegigihan dibentuk melalui tugas yang dijadualkan.

Selepas pelaksanaan, SPICA menyahkod PDF terbenam, menyimpannya ke cakera, dan membukanya sebagai umpan untuk pengguna. Pada masa yang sama, ia mewujudkan kegigihan dan memulakan gelung C2 utama, menunggu arahan untuk dilaksanakan di latar belakang.

Bukti menunjukkan bahawa pelakon negara bangsa itu mula menggunakan implan ini seawal November 2022. Pasukan keselamatan siber telah mengenal pasti berbilang varian gewang PDF yang 'disulitkan', menunjukkan kemungkinan wujudnya versi berbeza SPICA yang disesuaikan dengan dokumen gewang khusus yang dihantar kepada sasaran .

Penyelidik mengesyaki bahawa SPICA Backdoor telah digunakan dalam serangan yang sangat disasarkan dan terhad, dengan tumpuan kepada individu terkemuka dalam NGO, bekas pegawai perisikan dan tentera, sektor pertahanan dan kerajaan NATO.