SPICA Backdoor

Actorul de amenințări COLDRIVER, legat de Rusia, a fost observat extinzându-și operațiunile dincolo de recoltarea acreditărilor. A introdus primul său malware personalizat dezvoltat în limbajul de programare Rust, care este urmărit ca ușă în spate SPICA. Strategiile de atac asociate cu COLDRIVER utilizează PDF-urile ca documente momeală pentru a iniția secvența de infecție, e-mailurile înșelătoare provenind din conturi de uzurpare a identității.

COLDRIVER, recunoscut alternativ ca Blue Callisto, BlueCharlie (TAG-53), Calisto (Callisto), Dancing Salome, Gossamer Bear, Star Blizzard (fost SEABORGIUM), TA446 și UNC4057, este activ din 2019. Țintele sale se întind în diverse sectoare, inclusiv mediul academic, apărare, entități guvernamentale, organizații neguvernamentale, grupuri de reflecție, entități politice și, mai recent, instalații industriale și energetice de apărare.

Tactici de spear-phishing utilizate de COLDRIVER pentru a furniza programe malware

Campaniile de spear-phishing organizate de grup sunt concepute pentru a se angaja și a construi încrederea cu potențialele victime, cu scopul final de a partaja pagini de conectare false pentru a le colecta acreditările și a obține acces la conturi. Grupul criminalistic cibernetic a fost observat folosind scripturi de pe server pentru a preveni scanarea automată a infrastructurii controlate de actor și pentru a determina ținte de interes înainte de a le redirecționa către paginile de destinație de phishing.

Actorul amenințării a folosit documente PDF benigne ca punct de plecare încă din noiembrie 2022 pentru a atrage țintele să deschidă fișierele. COLDRIVER prezintă aceste documente ca un nou articol de opinie sau un alt tip de articol pe care contul de uzurpare a identității caută să îl publice, solicitând feedback de la țintă. Când utilizatorul deschide PDF-ul benign, textul apare criptat.

În acest caz, destinatarul răspunde la mesaj afirmând că nu poate citi documentul, iar actorul amenințării răspunde cu un link către un pretins instrument de decriptare („Proton-decrypter.exe”) găzduit pe un serviciu de stocare în cloud. Alegerea numelui „Proton-decrypter.exe” este notabilă deoarece adversarul folosește în mod predominant Proton Drive pentru a trimite momeli PDF prin mesajele de phishing.

Ușa din spate SPICA este aruncată sub masca unui decriptor

De fapt, decriptorul funcționează ca o amenințare de tip backdoor cunoscută sub numele de SPICA, permițându-i lui COLDRIVER să acceseze discret sistemul, prezentând simultan un document de momeală pentru a menține înșelăciunea. SPICA, programul malware personalizat inaugural al COLDRIVER, utilizează JSON peste WebSockets pentru Command-and-Control (C2), facilitând diverse acțiuni, cum ar fi executarea de comenzi shell arbitrare, furtul cookie-urilor din browserele web, încărcarea și descărcarea fișierelor și enumerarea și exfiltrarea datelor. Persistența se stabilește printr-o sarcină programată.

La execuție, SPICA decodifică un PDF încorporat, îl salvează pe disc și îl deschide ca momeală pentru utilizator. Simultan, stabilește persistența și inițiază bucla primară C2, așteptând comenzile pentru execuție în fundal.

Dovezile sugerează că actorul statului-națiune a început să folosească acest implant încă din noiembrie 2022. Echipa de securitate cibernetică a identificat mai multe variante ale nalucii PDF „criptate”, indicând posibila existență a diferitelor versiuni ale SPICA, adaptate la documentele specifice de momeală trimise către ținte. .

Cercetătorii bănuiesc că Backdoor-ul SPICA a fost folosit în atacuri extrem de țintite și limitate, cu accent pe indivizi proeminenti din cadrul ONG-urilor, foști oficiali de informații și militari, sectoare de apărare și guverne NATO.