СПИЦА Бацкдоор

Претње ЦОЛДРИВЕР, повезан са Русијом, примећено је како шири своје операције изван прикупљања акредитива. Представио је свој први прилагођени малвер развијен у програмском језику Руст који се прати као СПИЦА бацкдоор. Стратегије напада повезане са ЦОЛДРИВЕР-ом користе ПДФ-ове као лажне документе за иницирање секвенце инфекције, са обмањујућим имејловима који потичу са налога за лажно представљање.

ЦОЛДРИВЕР, алтернативно познат као Блуе Цаллисто, БлуеЦхарлие (ТАГ-53), Цалисто (Цаллисто), Данцинг Саломе, Госсамер Беар, Стар Близзард (раније СЕАБОРГИУМ), ТА446 и УНЦ4057, активан је од 2019. Његове мете обухватају различите секторе укључујући академску заједницу, одбрану, владине субјекте, невладине организације, трустове мозгова, политичке субјекте и, у новије време, одбрамбено-индустријске и енергетске објекте.

Тактике спеар-пхисхинга које користи ЦОЛДРИВЕР за испоруку злонамерног софтвера

Кампање за крађу идентитета које је организовала група осмишљене су да ангажују и изграде поверење са потенцијалним жртвама са крајњим циљем дељења лажних страница за пријављивање како би се прикупили њихови акредитиви и приступ налозима. Група сајбер криминала је примећена помоћу скрипти на страни сервера како би спречила аутоматско скенирање инфраструктуре коју контролишу актери и одредила мете од интереса пре него што их преусмери на одредишне странице за пхисхинг.

Глумац претњи је користио бенигне ПДФ документе као почетну тачку још у новембру 2022. да би навео мете да отворе датотеке. ЦОЛДРИВЕР представља ове документе као нови текст или другу врсту чланка који налог за лажно представљање жели да објави, тражећи повратну информацију од циља. Када корисник отвори бенигни ПДФ, текст се појављује шифровано.

У том случају, прималац одговара на поруку у којој се наводи да не може да прочита документ, а актер претње одговара везом до наводне алатке за дешифровање („Протон-децриптер.еке“) која се налази на услузи за складиштење у облаку. Избор имена 'Протон-децриптер.еке' је значајан јер противник углавном користи Протон Дриве да пошаље ПДФ мамце кроз пхисхинг поруке.

СПИЦА бацкдоор је избачен под маском дешифратора

У ствари, дешифратор функционише као бацкдоор претња позната као СПИЦА, омогућавајући ЦОЛДРИВЕР-у да дискретно приступи систему док истовремено представља документ за мамце како би одржао превару. СПИЦА, ЦОЛДРИВЕР-ов инаугурални прилагођени малвер, користи ЈСОН преко ВебСоцкетс за команду и контролу (Ц2), олакшавајући различите радње као што су извршавање произвољних команди љуске, крађа колачића из веб претраживача, отпремање и преузимање датотека, и набрајање и ексфилтрирање података. Упорност се успоставља кроз заказани задатак.

Након извршења, СПИЦА декодира уграђени ПДФ, чува га на диску и отвара га као мамац за корисника. Истовремено, успоставља постојаност и покреће примарну Ц2 петљу, чекајући команде за извршење у позадини.

Докази сугеришу да је актер националне државе почео да користи овај имплант већ у новембру 2022. Тим за сајбер безбедност је идентификовао више варијанти 'шифрованог' ПДФ мамаца, што указује на могуће постојање различитих верзија СПИЦА прилагођених специфичним документима о мамцима који су послати циљевима .

Истраживачи сумњају да је СПИЦА Бацкдоор коришћен у високо циљаним и ограниченим нападима, са фокусом на истакнуте појединце унутар невладиних организација, бивше обавештајне и војне званичнике, секторе одбране и владе НАТО-а.