SPICA bakdør

Trusselaktøren COLDRIVER, knyttet til Russland, har blitt observert utvide sin virksomhet utover innhenting av legitimasjon. Den har introdusert sin første tilpassede malware utviklet i Rust-programmeringsspråket som spores som SPICA-bakdøren. Angrepsstrategiene knyttet til COLDRIVER bruker PDF-er som lokkedokumenter for å starte infeksjonssekvensen, med de villedende e-postene som stammer fra etterligningskontoer.

COLDRIVER, alternativt anerkjent som Blue Callisto, BlueCharlie (TAG-53), Calisto (Callisto), Dancing Salome, Gossamer Bear, Star Blizzard (tidligere SEABORGIUM), TA446 og UNC4057, har vært aktiv siden 2019. Målene spenner over ulike sektorer, inkludert akademia, forsvar, statlige enheter, ikke-statlige organisasjoner, tenketanker, politiske enheter, og, mer nylig, forsvarsindustri- og energianlegg.

Spear-phishing-taktikker brukt av COLDRIVER for å levere skadelig programvare

Spear-phishing-kampanjer laget av gruppen er utformet for å engasjere og bygge tillit hos de potensielle ofrene med det endelige målet å dele falske påloggingssider for å hente inn påloggingsinformasjonen deres og få tilgang til kontoene. Nettkriminalitetsgruppen har blitt observert ved å bruke serversideskript for å forhindre automatisert skanning av den aktørkontrollerte infrastrukturen og bestemme mål av interesse før de omdirigeres til phishing-landingssidene.

Trusselaktøren har brukt godartede PDF-dokumenter som utgangspunkt så langt tilbake som i november 2022 for å lokke målene til å åpne filene. COLDRIVER presenterer disse dokumentene som en ny op-ed eller en annen type artikkel som etterligningskontoen ønsker å publisere, og ber om tilbakemelding fra målet. Når brukeren åpner den godartede PDF-filen, vises teksten kryptert.

I tilfelle svarer mottakeren på meldingen om at de ikke kan lese dokumentet, og trusselaktøren svarer med en lenke til et påstått dekrypteringsverktøy ('Proton-decrypter.exe') som er vert på en skylagringstjeneste. Valget av navnet 'Proton-decrypter.exe' er bemerkelsesverdig fordi motstanderen hovedsakelig bruker Proton Drive til å sende PDF-lokkene gjennom phishing-meldingene.

SPICA-bakdøren slippes under dekke av en dekryptering

I virkeligheten fungerer dekrypteringsenheten som en bakdørstrussel kjent som SPICA, som lar COLDRIVER diskret få tilgang til systemet samtidig som den presenterer et lokkedokument for å opprettholde bedraget. SPICA, COLDRIVERs første tilpassede malware, bruker JSON over WebSockets for Command-and-Control (C2), og tilrettelegger for ulike handlinger som å utføre vilkårlige shell-kommandoer, stjele informasjonskapsler fra nettlesere, laste opp og laste ned filer, og telle opp og eksfiltrere data. Utholdenhet etableres gjennom en planlagt oppgave.

Ved kjøring dekoder SPICA en innebygd PDF, lagrer den på disken og åpner den som et lokkemiddel for brukeren. Samtidig etablerer den utholdenhet og starter den primære C2-sløyfen, og venter på kommandoer for utførelse i bakgrunnen.

Bevis tyder på at nasjonalstatsaktøren begynte å bruke dette implantatet så tidlig som i november 2022. Nettsikkerhetsteamet har identifisert flere varianter av den 'krypterte' PDF-lokkingen, noe som indikerer mulig eksistens av forskjellige versjoner av SPICA skreddersydd for spesifikke lokkedokumenter sendt til mål .

Forskere mistenker at SPICA Backdoor har vært ansatt i svært målrettede og begrensede angrep, med fokus på fremtredende individer innen frivillige organisasjoner, tidligere etterretnings- og militærtjenestemenn, forsvarssektorer og NATO-regjeringer.