SPICA Backdoor

Aktér hrozby COLDRIVER, spojený s Ruskom, bol pozorovaný pri rozširovaní svojich operácií nad rámec získavania poverení. Predstavila svoj prvý vlastný malvér vyvinutý v programovacom jazyku Rust, ktorý je sledovaný ako zadné vrátka SPICA. Stratégie útoku spojené s COLDRIVER využívajú súbory PDF ako návnady na spustenie sekvencie infekcie, pričom klamlivé e-maily pochádzajú z účtov vydávajúcich sa za zosobnenie.

COLDRIVER, alternatívne známy ako Blue Callisto, BlueCharlie (TAG-53), Calisto (Callisto), Dancing Salome, Gossamer Bear, Star Blizzard (predtým SEABORGIUM), TA446 a UNC4057, je aktívny od roku 2019. Jeho ciele pokrývajú rôzne sektory, vrátane akademickej obce, obrany, vládnych subjektov, mimovládnych organizácií, think-tankov, politických subjektov a v poslednom čase aj obranno-priemyselných a energetických zariadení.

Spear-Phishing taktika používaná spoločnosťou COLDRIVER na doručovanie škodlivého softvéru

Spear-phishing kampane, ktoré skupina organizuje, sú navrhnuté tak, aby zapájali a budovali dôveru s potenciálnymi obeťami s konečným cieľom zdieľať falošné prihlasovacie stránky s cieľom získať ich poverenia a získať prístup k účtom. Skupina kyberzločincov bola pozorovaná pomocou skriptov na strane servera, aby zabránila automatizovanému skenovaniu infraštruktúry riadenej aktérmi a určila ciele záujmu pred ich presmerovaním na phishingové vstupné stránky.

Hrozba používa benígne dokumenty PDF ako východiskový bod už v novembri 2022, aby nalákala ciele na otvorenie súborov. COLDRIVER prezentuje tieto dokumenty ako nové op-ed alebo iný typ článku, ktorý chce účet odcudzenia identity zverejniť, pričom žiada od cieľovej osoby spätnú väzbu. Keď používateľ otvorí neškodné PDF, text sa zobrazí zašifrovaný.

V prípade, že príjemca odpovie na správu, že nemôže čítať dokument, a aktér hrozby odpovie odkazom na údajný dešifrovací nástroj („Proton-decrypter.exe“), ktorý je hosťovaný v službe cloudového úložiska. Výber názvu 'Proton-decrypter.exe' je pozoruhodný, pretože protivník používa prevažne Proton Drive na odosielanie návnad PDF prostredníctvom phishingových správ.

SPICA Backdoor je spustený pod rúškom dešifrovača

V skutočnosti dešifrovač funguje ako hrozba typu backdoor známa ako SPICA, ktorá umožňuje COLDRIVERu diskrétne pristupovať do systému a súčasne predkladať návnadu na udržanie podvodu. SPICA, inauguračný vlastný malvér COLDRIVER, využíva JSON cez WebSockets na príkazy a ovládanie (C2), čím uľahčuje rôzne akcie, ako je vykonávanie ľubovoľných príkazov shellu, krádeže súborov cookie z webových prehliadačov, nahrávanie a sťahovanie súborov a enumerácia a extrakcia údajov. Pretrvávanie je stanovené prostredníctvom naplánovanej úlohy.

Po spustení SPICA dekóduje vložené PDF, uloží ho na disk a otvorí ho ako návnadu pre používateľa. Súčasne nastaví perzistenciu a spustí primárnu slučku C2, pričom čaká na príkazy na vykonanie na pozadí.

Dôkazy naznačujú, že národný štátny aktér začal tento implantát používať už v novembri 2022. Tím pre kybernetickú bezpečnosť identifikoval viaceré varianty „šifrovanej“ návnady PDF, čo naznačuje možnú existenciu rôznych verzií SPICA prispôsobených konkrétnym návnadovým dokumentom odoslaným cieľom. .

Výskumníci majú podozrenie, že SPICA Backdoor bol použitý vo vysoko cielených a obmedzených útokoch so zameraním na prominentných jednotlivcov v rámci mimovládnych organizácií, bývalých spravodajských a vojenských predstaviteľov, rezortov obrany a vlád NATO.