SPICA पछाडिको ढोका

रुससँग जोडिएको धम्की दिने अभिनेता कोल्डराइभरले प्रमाणीकरण भन्दा बाहिर आफ्नो कार्यहरू विस्तार गरेको देखियो। यसले SPICA ब्याकडोरको रूपमा ट्र्याक गरिएको रस्ट प्रोग्रामिङ भाषामा विकसित गरिएको आफ्नो पहिलो कस्टम मालवेयर प्रस्तुत गरेको छ। COLDRIVER सँग सम्बन्धित आक्रमण रणनीतिहरूले पीडीएफहरूलाई सङ्क्रमण अनुक्रम प्रारम्भ गर्न डिकोय कागजातहरूको रूपमा प्रयोग गर्दछ, भ्रामक इमेलहरू प्रतिरूपण खाताहरूबाट उत्पन्न हुन्छ।

COLDRIVER, वैकल्पिक रूपमा Blue Callisto, BlueCharlie (TAG-53), Calisto (Callisto), Dancing Salome, Gossamer Bear, Star Blizzard (पहिले SEABORGIUM), TA446, र UNC4057 को रूपमा मान्यता प्राप्त, 2019 देखि सक्रिय छ। यसको लक्ष्यहरू विभिन्न क्षेत्रहरूमा फैलिएको छ। शिक्षाविद्, रक्षा, सरकारी निकायहरू, गैर-सरकारी संस्थाहरू, थिंक ट्याङ्कहरू, राजनीतिक संस्थाहरू, र हालसालै, रक्षा-औद्योगिक र ऊर्जा सुविधाहरू।

मालवेयर डेलिभर गर्न COLDRIVE द्वारा प्रयोग गरिएको भाला-फिसिङ रणनीति

समूह द्वारा माउन्ट गरिएको भाला-फिसिङ अभियानहरू सम्भावित पीडितहरूसँग संलग्नता र विश्वास निर्माण गर्नको लागि डिजाइन गरिएको हो जसको अन्तिम लक्ष्य बोगस साइन-इन पृष्ठहरू साझेदारी गर्न र खाताहरूमा पहुँच प्राप्त गर्नको लागि हो। साइबर अपराध समूहले अभिनेता-नियन्त्रित पूर्वाधारको स्वचालित स्क्यानिङ रोक्न र फिसिङ ल्यान्डिङ पृष्ठहरूमा रिडिरेक्ट गर्नु अघि रुचिको लक्ष्यहरू निर्धारण गर्न सर्भर-साइड स्क्रिप्टहरू प्रयोग गरेको अवलोकन गरिएको छ।

धम्की दिने अभिनेताले नोभेम्बर २०२२ सम्मको सुरुवात बिन्दुको रूपमा सौम्य PDF कागजातहरू प्रयोग गर्दै आएको छ फाइलहरू खोल्नका लागि लक्ष्यहरूलाई लोभ्याउन। COLDRIVER ले यी कागजातहरूलाई नयाँ अप-एड वा अर्को प्रकारको लेखको रूपमा प्रस्तुत गर्दछ जुन प्रतिरूपण खाता प्रकाशित गर्न खोजिरहेको छ, लक्ष्यबाट प्रतिक्रियाको लागि सोध्दै। जब प्रयोगकर्ताले सौम्य PDF खोल्छ, पाठ इन्क्रिप्टेड देखिन्छ।

घटनामा, प्राप्तकर्ताले सन्देशलाई जवाफ दिन्छ कि उनीहरू कागजात पढ्न सक्दैनन् र खतरा अभिनेताले क्लाउड भण्डारण सेवामा होस्ट गरिएको कथित डिक्रिप्शन उपकरण ('Proton-decrypter.exe') को लिङ्कको साथ जवाफ दिन्छ। 'Proton-decrypter.exe' नामको छनोट उल्लेखनीय छ किनभने विरोधीले फिसिङ सन्देशहरू मार्फत PDF लुर्स पठाउन प्रोटोन ड्राइभलाई मुख्य रूपमा प्रयोग गर्दछ।

SPICA ब्याकडोर डिक्रिप्टरको आडमा छोडिएको छ

वास्तविकतामा, डिक्रिप्टरले SPICA को रूपमा चिनिने ब्याकडोर खतराको रूपमा कार्य गर्दछ, जसले COLDRIVE लाई सावधानीपूर्वक प्रणालीमा पहुँच गर्न अनुमति दिन्छ जबकि साथसाथै छललाई कायम राख्नको लागि डिको कागजात प्रस्तुत गर्दछ। SPICA, COLDRIVER को उद्घाटन कस्टम मालवेयरले JSON लाई WebSockets for Command-and-Control (C2) को उपयोग गर्दछ, विभिन्न कार्यहरू जस्तै स्वैच्छिक शेल आदेशहरू कार्यान्वयन गर्ने, वेब ब्राउजरहरूबाट कुकीहरू पिल्फर गर्ने, फाइलहरू अपलोड गर्ने र डाउनलोड गर्ने, र डेटा गणना गर्ने र एक्सफिल्ट गर्ने जस्ता विभिन्न कार्यहरूको सुविधा दिन्छ। एक निर्धारित कार्य मार्फत दृढता स्थापित हुन्छ।

कार्यान्वयनमा, SPICA ले एम्बेडेड PDF डिकोड गर्दछ, यसलाई डिस्कमा बचत गर्दछ, र प्रयोगकर्ताको लागि डिकोयको रूपमा खोल्छ। एकै साथ, यसले दृढता स्थापना गर्दछ र प्राथमिक C2 लूप सुरु गर्दछ, पृष्ठभूमिमा कार्यान्वयनको लागि आदेशहरू पर्खिरहेको छ।

प्रमाणले सुझाव दिन्छ कि राष्ट्र-राज्य अभिनेताले नोभेम्बर 2022 को रूपमा यो प्रत्यारोपण प्रयोग गर्न थाले। साइबरसुरक्षा टोलीले 'इन्क्रिप्टेड' PDF ल्युरको धेरै प्रकारहरू पहिचान गरेको छ, जसले लक्ष्यहरूलाई पठाइएका विशिष्ट लुचका कागजातहरू अनुरूप SPICA को विभिन्न संस्करणहरूको सम्भावित अस्तित्वलाई संकेत गर्दछ। ।

अनुसन्धानकर्ताहरूले शंका गरेका छन् कि SPICA ब्याकडोर उच्च लक्षित र सीमित आक्रमणहरूमा नियोजित गरिएको छ, एनजीओहरू, पूर्व गुप्तचर र सैन्य अधिकारीहरू, रक्षा क्षेत्रहरू र NATO सरकारहरू भित्रका प्रमुख व्यक्तिहरूमा ध्यान केन्द्रित गर्दै।