SPICA Bakdörr

Hotaktören COLDRIVER, kopplad till Ryssland, har observerats expandera sin verksamhet bortom meriteringsskörd. Den har introducerat sin första anpassade skadliga programvara utvecklad i programmeringsspråket Rust som spåras som SPICA-bakdörren. Attackstrategierna som är förknippade med COLDRIVER använder PDF-filer som lockbetedokument för att initiera infektionssekvensen, med vilseledande e-postmeddelanden som härrör från personifieringskonton.

COLDRIVER, alternativt erkänd som Blue Callisto, BlueCharlie (TAG-53), Calisto (Callisto), Dancing Salome, Gossamer Bear, Star Blizzard (tidigare SEABORGIUM), TA446 och UNC4057, har varit aktiv sedan 2019. Dess mål spänner över olika sektorer, inklusive akademi, försvar, statliga enheter, icke-statliga organisationer, tankesmedjor, politiska enheter och, på senare tid, försvarsindustriella och energianläggningar.

Spear-phishing-taktik som används av COLDRIVER för att leverera skadlig programvara

Spear-phishing-kampanjer som satts upp av gruppen är utformade för att engagera och bygga förtroende med de potentiella offren med det slutliga målet att dela falska inloggningssidor för att samla in deras referenser och få tillgång till konton. Cyberbrottsgruppen har observerats använda skript på serversidan för att förhindra automatisk genomsökning av den aktörskontrollerade infrastrukturen och fastställa mål av intresse innan de omdirigeras till nätfiskemålsidorna.

Hotaktören har använt godartade PDF-dokument som utgångspunkt så långt tillbaka som i november 2022 för att locka målen att öppna filerna. COLDRIVER presenterar dessa dokument som en ny op-ed eller en annan typ av artikel som personifieringskontot vill publicera och ber om feedback från målet. När användaren öppnar den godartade PDF-filen visas texten krypterad.

I händelse av att mottagaren svarar på meddelandet som säger att de inte kan läsa dokumentet och hotaktören svarar med en länk till ett påstått dekrypteringsverktyg ('Proton-decrypter.exe') som finns på en molnlagringstjänst. Valet av namnet "Proton-decrypter.exe" är anmärkningsvärt eftersom motståndaren till övervägande del använder Proton Drive för att skicka PDF-lurarna genom nätfiskemeddelanden.

SPICA-bakdörren släpps under sken av en dekryptering

I själva verket fungerar dekryptören som ett bakdörrshot som kallas SPICA, vilket gör att COLDRIVER diskret kan komma åt systemet samtidigt som det presenterar ett lockbetedokument för att upprätthålla bedrägeriet. SPICA, COLDRIVERs första skräddarsydda skadliga program, använder JSON över WebSockets for Command-and-Control (C2), vilket underlättar olika åtgärder som att exekvera godtyckliga skalkommandon, stjäla cookies från webbläsare, ladda upp och ladda ner filer och räkna upp och exfiltrera data. Persistens etableras genom en schemalagd uppgift.

Vid körning avkodar SPICA en inbäddad PDF, sparar den på disken och öppnar den som ett lockbete för användaren. Samtidigt etablerar den uthållighet och initierar den primära C2-slingan, i väntan på kommandon för exekvering i bakgrunden.

Bevis tyder på att nationalstatsaktören började använda detta implantat redan i november 2022. Cybersäkerhetsteamet har identifierat flera varianter av det "krypterade" PDF-draget, vilket indikerar att det finns olika versioner av SPICA som är skräddarsydda för specifika lockbetedokument som skickas till mål. .

Forskare misstänker att SPICA Backdoor har använts i mycket riktade och begränsade attacker, med fokus på framstående individer inom icke-statliga organisationer, tidigare underrättelse- och militärtjänstemän, försvarssektorer och NATO-regeringar.