Zadnja vrata SPICA

Opazili so, da grožnja akter COLDRIVER, povezan z Rusijo, širi svoje operacije onkraj zbiranja poverilnic. Predstavil je svojo prvo zlonamerno programsko opremo po meri, razvito v programskem jeziku Rust, ki se spremlja kot stranska vrata SPICA. Strategije napada, povezane s programom COLDRIVER, uporabljajo PDF-je kot dokumente za vabo, da sprožijo zaporedje okužb, pri čemer zavajajoča e-poštna sporočila izvirajo iz lažnih računov.

COLDRIVER, alternativno prepoznan kot Blue Callisto, BlueCharlie (TAG-53), Calisto (Callisto), Dancing Salome, Gossamer Bear, Star Blizzard (prej SEABORGIUM), TA446 in UNC4057, je aktiven od leta 2019. Njegovi cilji zajemajo različne sektorje, vključno z akademskim svetom, obrambo, vladnimi subjekti, nevladnimi organizacijami, možganskimi trusti, političnimi subjekti in v zadnjem času obrambno-industrijskimi in energetskimi objekti.

Taktike lažnega predstavljanja, ki jih COLDRIVER uporablja za dostavo zlonamerne programske opreme

Kampanje za lažno predstavljanje, ki jih izvaja skupina, so zasnovane tako, da pritegnejo potencialne žrtve in zgradijo zaupanje s končnim ciljem deliti lažne strani za prijavo, da pridobijo njihove poverilnice in pridobijo dostop do računov. Skupina kibernetskega kriminala je bila opažena pri uporabi skriptov na strežniški strani, da bi preprečila samodejno skeniranje infrastrukture, ki jo nadzorujejo igralci, in določila interesne tarče, preden jih preusmeri na ciljne strani z lažnim predstavljanjem.

Akter grožnje je uporabljal benigne dokumente PDF kot izhodišče že od novembra 2022, da bi tarče premamil k odpiranju datotek. COLDRIVER predstavlja te dokumente kot novo uvodno besedilo ali drugo vrsto članka, ki ga želi objaviti račun za lažno predstavljanje, in zahteva povratne informacije od cilja. Ko uporabnik odpre benigni PDF, je besedilo videti šifrirano.

V tem primeru se prejemnik odzove na sporočilo, da ne more prebrati dokumenta, povzročitelj grožnje pa odgovori s povezavo do domnevnega orodja za dešifriranje ('Proton-decrypter.exe'), ki gostuje v storitvi za shranjevanje v oblaku. Izbira imena 'Proton-decrypter.exe' je opazna, ker nasprotnik večinoma uporablja Proton Drive za pošiljanje vab PDF prek lažnih sporočil.

Backdoor SPICA je opuščen pod krinko dešifrerja

V resnici dekriptor deluje kot grožnja za zakulisjem, znana kot SPICA, ki COLDRIVERJU omogoča diskreten dostop do sistema, hkrati pa predstavlja dokument z vabo, da ohrani prevaro. SPICA, uvodna zlonamerna programska oprema po meri COLDRIVER, uporablja JSON preko WebSockets za ukazovanje in nadzor (C2), kar olajša različna dejanja, kot je izvajanje poljubnih ukazov lupine, krajo piškotkov iz spletnih brskalnikov, nalaganje in prenašanje datotek ter štetje in izločanje podatkov. Vztrajnost se vzpostavi skozi načrtovano nalogo.

Po izvedbi SPICA dekodira vdelan PDF, ga shrani na disk in odpre kot vabo za uporabnika. Hkrati vzpostavi obstojnost in sproži primarno zanko C2, ki v ozadju čaka na ukaze za izvedbo.

Dokazi kažejo, da je akter nacionalne države začel uporabljati ta vsadek že novembra 2022. Ekipa za kibernetsko varnost je identificirala več različic 'šifrirane' vabe PDF, kar kaže na možen obstoj različnih različic SPICA, prilagojenih posebnim vabljivim dokumentom, poslanim tarčam. .

Raziskovalci domnevajo, da je bila stranska vrata SPICA uporabljena v zelo ciljno usmerjenih in omejenih napadih, s poudarkom na uglednih posameznikih v nevladnih organizacijah, nekdanjih obveščevalnih in vojaških uradnikih, obrambnih sektorjih in vladah Nata.