SPICA-achterdeur

Er is waargenomen dat de dreigingsactor COLDRIVER, verbonden met Rusland, zijn activiteiten verder uitbreidt dan het verzamelen van inloggegevens. Het heeft zijn eerste aangepaste malware geïntroduceerd, ontwikkeld in de programmeertaal Rust, die wordt gevolgd als de SPICA-achterdeur. De aanvalsstrategieën die verband houden met COLDRIVER maken gebruik van PDF's als lokdocumenten om de infectiesequentie te initiëren, waarbij de misleidende e-mails afkomstig zijn van nabootsingsaccounts.

COLDRIVER, ook wel bekend als Blue Callisto, BlueCharlie (TAG-53), Calisto (Callisto), Dancing Salome, Gossamer Bear, Star Blizzard (voorheen SEABORGIUM), TA446 en UNC4057, is actief sinds 2019. De doelstellingen omvatten diverse sectoren, waaronder de academische wereld, defensie, overheidsinstanties, niet-gouvernementele organisaties, denktanks, politieke entiteiten en, meer recentelijk, defensie-industriële en energiefaciliteiten.

Spear-phishing-tactieken gebruikt door COLDRIVER om malware te leveren

Spearphishing-campagnes die door de groep zijn opgezet, zijn ontworpen om vertrouwen te wekken en vertrouwen op te bouwen bij de potentiële slachtoffers, met als uiteindelijk doel het delen van valse inlogpagina's om hun inloggegevens te verzamelen en toegang te krijgen tot de accounts. Er is waargenomen dat de cybercriminaliteitsgroep server-side scripts gebruikt om automatisch scannen van de door actoren gecontroleerde infrastructuur te voorkomen en interessante doelwitten te bepalen voordat ze worden omgeleid naar de phishing-landingspagina's.

De bedreigingsacteur gebruikt al in november 2022 goedaardige PDF-documenten als uitgangspunt om de doelwitten ertoe te verleiden de bestanden te openen. COLDRIVER presenteert deze documenten als een nieuw opiniestuk of een ander type artikel dat het imitatieaccount wil publiceren, waarbij om feedback van het doelwit wordt gevraagd. Wanneer de gebruiker de goedaardige PDF opent, wordt de tekst gecodeerd weergegeven.

In dat geval reageert de ontvanger op het bericht waarin staat dat hij het document niet kan lezen en reageert de bedreigingsacteur met een link naar een zogenaamde decoderingstool ('Proton-decrypter.exe') die wordt gehost op een cloudopslagservice. De keuze voor de naam 'Proton-decrypter.exe' valt op omdat de tegenstander voornamelijk Proton Drive gebruikt om de pdf-lokmiddelen via de phishing-berichten te verzenden.

De SPICA Backdoor verdwijnt onder het mom van een decrypter

In werkelijkheid functioneert de decryptor als een achterdeurbedreiging die bekend staat als SPICA, waardoor COLDRIVER discreet toegang kan krijgen tot het systeem en tegelijkertijd een lokdocument kan presenteren om het bedrog in stand te houden. SPICA, de eerste aangepaste malware van COLDRIVER, maakt gebruik van JSON via WebSockets voor Command-and-Control (C2) en vergemakkelijkt verschillende acties, zoals het uitvoeren van willekeurige shell-opdrachten, het stelen van cookies uit webbrowsers, het uploaden en downloaden van bestanden en het opsommen en exfiltreren van gegevens. Persistentie wordt tot stand gebracht via een geplande taak.

Na uitvoering decodeert SPICA een ingesloten PDF, slaat deze op de schijf op en opent deze als lokmiddel voor de gebruiker. Tegelijkertijd zorgt het voor persistentie en initieert het de primaire C2-lus, in afwachting van opdrachten voor uitvoering op de achtergrond.

Er zijn aanwijzingen dat de natiestatelijke actor dit implantaat al in november 2022 begon te gebruiken. Het cyberbeveiligingsteam heeft meerdere varianten van de ‘gecodeerde’ PDF-lokmiddel geïdentificeerd, wat wijst op het mogelijke bestaan van verschillende versies van SPICA die zijn afgestemd op specifieke lokdocumenten die naar doelen worden gestuurd. .

Onderzoekers vermoeden dat de SPICA Backdoor is gebruikt bij zeer gerichte en beperkte aanvallen, met een focus op prominente personen binnen NGO's, voormalige inlichtingen- en militaire functionarissen, defensiesectoren en NAVO-regeringen.