Tylne drzwi SPICA

Zaobserwowano, że ugrupowanie zagrażające COLDRIVER, powiązane z Rosją, rozszerza swoją działalność poza zbieranie danych uwierzytelniających. Wprowadziło swoje pierwsze niestandardowe szkodliwe oprogramowanie opracowane w języku programowania Rust, które jest śledzone jako backdoor SPICA. Strategie ataków powiązane z COLDRIVER wykorzystują pliki PDF jako dokumenty-wabiki do inicjowania sekwencji infekcji, przy czym zwodnicze wiadomości e-mail pochodzą z kont podszywających się pod inne osoby.

COLDRIVER, znany alternatywnie jako Blue Callisto, BlueCharlie (TAG-53), Calisto (Callisto), Dancing Salome, Gossamer Bear, Star Blizzard (dawniej SEABORGIUM), TA446 i UNC4057, działa od 2019 roku. Jego cele obejmują różne sektory, w tym środowisko akademickie, obronne, podmioty rządowe, organizacje pozarządowe, zespoły doradcze, podmioty polityczne, a ostatnio obiekty przemysłu obronnego i energetycznego.

Taktyki spear-phishingu wykorzystywane przez COLDRIVER do dostarczania złośliwego oprogramowania

Organizowane przez tę grupę kampanie phishingowe typu spear mają na celu nawiązanie kontaktu z potencjalnymi ofiarami i budowanie ich zaufania, a ostatecznym celem jest udostępnianie fałszywych stron logowania w celu uzyskania ich danych uwierzytelniających i uzyskania dostępu do kont. Zaobserwowano, że ta grupa cyberprzestępcza korzysta ze skryptów po stronie serwera, aby zapobiec automatycznemu skanowaniu infrastruktury kontrolowanej przez aktorów i określić interesujące cele przed przekierowaniem ich na strony docelowe phishingowe.

Już w listopadzie 2022 r. podmiot zagrażający wykorzystywał łagodne dokumenty PDF jako punkt wyjścia, aby nakłonić ofiary do otwarcia plików. COLDRIVER przedstawia te dokumenty jako nowy artykuł lub artykuł innego rodzaju, który chce opublikować konto podszywające się, prosząc o opinię od osoby docelowej. Kiedy użytkownik otwiera łagodny plik PDF, tekst wydaje się zaszyfrowany.

W takim przypadku odbiorca odpowiada na wiadomość, stwierdzając, że nie może odczytać dokumentu, a ugrupowanie zagrażające przesyła łącze do rzekomego narzędzia do odszyfrowania („Proton-decrypter.exe”) hostowanego w usłudze przechowywania w chmurze. Wybór nazwy „Proton-decrypter.exe” jest godny uwagi, ponieważ przeciwnik używa głównie Proton Drive do wysyłania przynęt w formacie PDF za pośrednictwem wiadomości phishingowych.

Backdoor SPICA zostaje upuszczony pod przykrywką deszyfratora

W rzeczywistości program deszyfrujący działa jako zagrożenie backdoorem znane jako SPICA, umożliwiając COLDRIVER dyskretny dostęp do systemu, jednocześnie przedstawiając fałszywy dokument w celu podtrzymania oszustwa. SPICA, inauguracyjne niestandardowe złośliwe oprogramowanie COLDRIVER, wykorzystuje JSON poprzez WebSockets do zarządzania i kontroli (C2), ułatwiając różne działania, takie jak wykonywanie dowolnych poleceń powłoki, kradzież plików cookie z przeglądarek internetowych, przesyłanie i pobieranie plików oraz wyliczanie i wydobywanie danych. Trwałość ustala się poprzez zaplanowane zadanie.

Po uruchomieniu SPICA dekoduje osadzony plik PDF, zapisuje go na dysku i otwiera jako przynętę dla użytkownika. Jednocześnie ustanawia trwałość i inicjuje podstawową pętlę C2, oczekując na polecenia do wykonania w tle.

Dowody sugerują, że podmiot reprezentujący państwo narodowe zaczął używać tego implantu już w listopadzie 2022 r. Zespół ds. cyberbezpieczeństwa zidentyfikował wiele wariantów „zaszyfrowanej” przynęty w formacie PDF, wskazując na możliwe istnienie różnych wersji SPICA dostosowanych do konkretnych dokumentów dotyczących przynęt wysyłanych do celów .

Badacze podejrzewają, że backdoor SPICA był wykorzystywany w wysoce ukierunkowanych i ograniczonych atakach, skupiających się na prominentnych osobach z organizacji pozarządowych, byłych urzędnikach wywiadu i wojska, sektorach obronnych i rządach NATO.