Бэкдор СПИКА

Было замечено, что злоумышленник COLDRIVER, связанный с Россией, расширяет свою деятельность за пределы сбора учетных данных. Компания представила свое первое специальное вредоносное ПО, разработанное на языке программирования Rust, которое отслеживается как бэкдор SPICA. Стратегии атак, связанные с COLDRIVER, используют PDF-файлы в качестве документов-ловушек для инициации процесса заражения, при этом вводящие в заблуждение электронные письма исходят от учетных записей, выдающих себя за другое лицо.

COLDRIVER, альтернативно известный как Blue Callisto, BlueCharlie (TAG-53), Calisto (Callisto), Dancing Salome, Gossamer Bear, Star Blizzard (ранее SEABORGIUM), TA446 и UNC4057, действует с 2019 года. Его цели охватывают различные отрасли, включая академические круги, оборонные ведомства, правительственные учреждения, неправительственные организации, аналитические центры, политические организации и, в последнее время, оборонно-промышленные и энергетические объекты.

Тактика целевого фишинга, используемая COLDRIVER для доставки вредоносного ПО

Кампании целевого фишинга, проводимые группой, призваны привлечь и укрепить доверие потенциальных жертв с конечной целью поделиться поддельными страницами входа в систему, чтобы получить их учетные данные и получить доступ к учетным записям. Было замечено, что группа киберпреступников использует серверные сценарии для предотвращения автоматического сканирования инфраструктуры, контролируемой злоумышленниками, и определения интересующих целей перед перенаправлением их на фишинговые целевые страницы.

Злоумышленник использовал безобидные PDF-документы в качестве отправной точки еще в ноябре 2022 года, чтобы побудить жертвы открыть файлы. COLDRIVER представляет эти документы как новую статью или статью другого типа, которую хочет опубликовать аккаунт, выдающий себя за другое лицо, с просьбой дать отзыв от цели. Когда пользователь открывает безопасный PDF-файл, текст оказывается зашифрованным.

В этом случае получатель отвечает на сообщение, заявляя, что он не может прочитать документ, а злоумышленник отвечает ссылкой на предполагаемый инструмент расшифровки («Proton-decrypter.exe»), размещенный в службе облачного хранения. Выбор имени «Proton-decrypter.exe» примечателен тем, что злоумышленник преимущественно использует Proton Drive для отправки PDF-файлов-приманок через фишинговые сообщения.

Бэкдор SPICA обнаружен под видом расшифровщика

На самом деле дешифратор действует как бэкдор-угроза, известная как SPICA, позволяя COLDRIVER незаметно получать доступ к системе, одновременно предоставляя документ-ловушку для поддержания обмана. SPICA, первое специальное вредоносное ПО от COLDRIVER, использует JSON поверх WebSockets для управления и контроля (C2), облегчая различные действия, такие как выполнение произвольных команд оболочки, кража файлов cookie из веб-браузеров, загрузка и скачивание файлов, а также перечисление и извлечение данных. Постоянство устанавливается посредством запланированной задачи.

После выполнения SPICA декодирует встроенный PDF-файл, сохраняет его на диск и открывает в качестве приманки для пользователя. Одновременно он устанавливает постоянство и инициирует основной цикл C2, ожидая команд для выполнения в фоновом режиме.

Имеющиеся данные свидетельствуют о том, что государственный субъект начал использовать этот имплантат еще в ноябре 2022 года. Команда по кибербезопасности выявила несколько вариантов «зашифрованного» PDF-приманки, что указывает на возможное существование различных версий SPICA, адаптированных к конкретным документам-приманкам, отправляемым целям. .

Исследователи подозревают, что бэкдор SPICA использовался в узконаправленных и ограниченных атаках с акцентом на видных деятелей в НПО, бывших чиновников разведки и вооруженных сил, оборонных секторов и правительств стран НАТО.