SPICA Backdoor

O autor de ameaças COLDRIVER, ligado à Rússia, tem sido observado expandindo as suas operações para além da recolha de credenciais. Ele introduziu seu primeiro malware personalizado desenvolvido na linguagem de programação Rust que está sendo rastreado como backdoor SPICA. As estratégias de ataque associadas ao COLDRIVER utilizam PDFs como documentos chamariz para iniciar a sequência de infecção, com e-mails enganosos originados de contas falsas.

COLDRIVER, alternativamente reconhecido como Blue Callisto, BlueCharlie (TAG-53), Calisto (Callisto), Dancing Salome, Gossamer Bear, Star Blizzard (anteriormente SEABORGIUM), TA446 e UNC4057, está ativo desde 2019. Seus alvos abrangem diversos setores, incluindo academia, defesa, entidades governamentais, organizações não governamentais, grupos de reflexão, entidades políticas e, mais recentemente, instalações industriais de defesa e energéticas.

Táticas de Spearphishing Utilizadas por COLDRIVER para Entregar Malware

As campanhas de spear-phishing montadas pelo grupo são projetadas para envolver e construir a confiança das possíveis vítimas, com o objetivo final de compartilhar páginas de login falsas para coletar suas credenciais e obter acesso às contas. O grupo de crimes cibernéticos foi observado usando scripts do lado do servidor para evitar a verificação automatizada da infraestrutura controlada pelos atores e determinar alvos de interesse antes de redirecioná-los para as páginas de destino de phishing.

O ator da ameaça tem usado documentos PDF benignos como ponto de partida já em novembro de 2022 para convencer os alvos a abrir os arquivos. COLDRIVER apresenta esses documentos como um novo artigo de opinião ou outro tipo de artigo que a conta de personificação pretende publicar, solicitando feedback do alvo. Quando o usuário abre o PDF benigno, o texto aparece criptografado.

Nesse caso, o destinatário responde à mensagem informando que não consegue ler o documento e o autor da ameaça responde com um link para uma suposta ferramenta de descriptografia ('Proton-decrypter.exe') hospedada em um serviço de armazenamento em nuvem. A escolha do nome 'Proton-decrypter.exe' é notável porque o adversário usa predominantemente o Proton Drive para enviar iscas de PDF por meio de mensagens de phishing.

O SPICA Backdoor é DInstalado Sob o Disfarce de um Descriptografador

Na verdade, o descriptografador funciona como uma ameaça de backdoor conhecida como SPICA, permitindo que o COLDRIVER acesse discretamente o sistema e, ao mesmo tempo, apresente um documento falso para manter o engano. SPICA, o malware personalizado inaugural do COLDRIVER, utiliza JSON sobre WebSockets para comando e controle (C2), facilitando várias ações, como execução de comandos shell arbitrários, roubo de cookies de navegadores da web, upload e download de arquivos e enumeração e exfiltração de dados. A persistência é estabelecida por meio de uma tarefa agendada.

Após a execução, o SPICA decodifica um PDF incorporado, salva-o no disco e abre-o como uma isca para o usuário. Simultaneamente, estabelece persistência e inicia o loop C2 primário, aguardando comandos para execução em segundo plano.

As evidências sugerem que o ator estatal começou a usar este implante já em novembro de 2022. A equipe de segurança cibernética identificou múltiplas variantes da isca PDF 'criptografada', indicando a possível existência de diferentes versões do SPICA adaptadas para atrair documentos específicos enviados aos alvos. .

Os investigadores suspeitam que o SPICA Backdoor tem sido utilizado em ataques altamente direcionados e limitados, com foco em indivíduos proeminentes dentro de ONGs, ex-oficiais de inteligência e militares, setores de defesa e governos da OTAN.