SPICA Backdoor

Aktori i kërcënimit COLDRIVER, i lidhur me Rusinë, është vërejtur duke zgjeruar operacionet e tij përtej mbledhjes së kredencialeve. Ai ka prezantuar malware-in e tij të parë të personalizuar të zhvilluar në gjuhën e programimit Rust, i cili po gjurmohet si porta e pasme SPICA. Strategjitë e sulmit të lidhura me COLDRIVER përdorin PDF-të si dokumente mashtrimi për të inicuar sekuencën e infeksionit, me emailet mashtruese që vijnë nga llogaritë e imitimit.

COLDRIVER, i njohur në mënyrë alternative si Blue Callisto, BlueCharlie (TAG-53), Calisto (Callisto), Dancing Salome, Gossamer Bear, Star Blizzard (ish SEABORGIUM), TA446 dhe UNC4057, ka qenë aktiv që nga viti 2019. Objektivat e tij përfshijnë sektorë të ndryshëm. duke përfshirë akademinë, mbrojtjen, entitetet qeveritare, organizatat joqeveritare, grupet e mendimit, subjektet politike dhe, së fundmi, objektet mbrojtëse-industriale dhe energjetike.

Taktikat e phishing me shtizë të përdorura nga COLDRIVER për të ofruar malware

Fushatat spar-phishing të ngritura nga grupi janë krijuar për të angazhuar dhe ndërtuar besimin me viktimat e mundshme me qëllimin përfundimtar të ndarjes së faqeve false të hyrjes për të mbledhur kredencialet e tyre dhe për të fituar akses në llogaritë. Grupi i krimit kibernetik është vëzhguar duke përdorur skriptet e serverit për të parandaluar skanimin e automatizuar të infrastrukturës së kontrolluar nga aktori dhe për të përcaktuar objektivat e interesit përpara se t'i ridrejtojë ato në faqet e uljes së phishing.

Aktori i kërcënimit ka përdorur dokumente të mira PDF si një pikënisje që në nëntor 2022 për të joshur objektivat në hapjen e skedarëve. COLDRIVER i paraqet këto dokumente si një artikull të ri ose një lloj tjetër artikulli që llogaria e imitimit kërkon të publikojë, duke kërkuar reagime nga objektivi. Kur përdoruesi hap PDF-në e mirë, teksti shfaqet i koduar.

Në rast se marrësi i përgjigjet mesazhit duke deklaruar se nuk mund ta lexojë dokumentin dhe aktori i kërcënimit përgjigjet me një lidhje në një mjet të supozuar të deshifrimit ('Proton-decrypter.exe') të vendosur në një shërbim të ruajtjes së resë kompjuterike. Zgjedhja e emrit 'Proton-decrypter.exe' është e dukshme sepse kundërshtari përdor kryesisht Proton Drive për të dërguar joshjet PDF përmes mesazheve të phishing.

Backdoor SPICA është hedhur nën maskën e një dekriptuesi

Në fakt, dekriptuesi funksionon si një kërcënim në prapavijë i njohur si SPICA, duke i lejuar COLDRIVER të aksesojë në mënyrë diskrete sistemin duke paraqitur njëkohësisht një dokument mashtrimi për të ruajtur mashtrimin. SPICA, malware i personalizuar inaugurues i COLDRIVER, përdor JSON mbi WebSockets për Command-and-Control (C2), duke lehtësuar veprime të ndryshme si ekzekutimi i komandave arbitrare të guaskës, vjedhja e kukive nga shfletuesit e uebit, ngarkimi dhe shkarkimi i skedarëve dhe numërimi dhe nxjerrja e të dhënave. Këmbëngulja krijohet përmes një detyre të planifikuar.

Pas ekzekutimit, SPICA dekodon një PDF të ngulitur, e ruan atë në disk dhe e hap atë si një mashtrim për përdoruesit. Në të njëjtën kohë, ai vendos këmbënguljen dhe fillon ciklin kryesor C2, duke pritur komandat për ekzekutim në sfond.

Provat sugjerojnë se aktori i shtetit-komb filloi ta përdorte këtë implant që në nëntor 2022. Ekipi i sigurisë kibernetike ka identifikuar variante të shumta të joshjes së 'kriptuar' PDF, duke treguar ekzistencën e mundshme të versioneve të ndryshme të SPICA të përshtatura për dokumente joshëse specifike të dërguara për objektiva .

Studiuesit dyshojnë se SPICA Backdoor është përdorur në sulme shumë të synuara dhe të kufizuara, me fokus në individë të shquar brenda OJQ-ve, ish-zyrtarë të inteligjencës dhe ushtrisë, sektorëve të mbrojtjes dhe qeverive të NATO-s.