SPICA బ్యాక్‌డోర్

రష్యాతో అనుసంధానించబడిన ముప్పు నటుడు COLDRIVER తన కార్యకలాపాలను క్రెడెన్షియల్ హార్వెస్టింగ్‌కు మించి విస్తరించడం గమనించబడింది. ఇది SPICA బ్యాక్‌డోర్‌గా ట్రాక్ చేయబడే రస్ట్ ప్రోగ్రామింగ్ లాంగ్వేజ్‌లో అభివృద్ధి చేయబడిన దాని మొదటి అనుకూల మాల్వేర్‌ను పరిచయం చేసింది. COLDRIVERతో అనుబంధించబడిన దాడి వ్యూహాలు ఇన్ఫెక్షన్ క్రమాన్ని ప్రారంభించడానికి PDFలను డికోయ్ డాక్యుమెంట్‌లుగా ఉపయోగించుకుంటాయి, మోసపూరిత ఇమెయిల్‌లు ప్రతిరూపణ ఖాతాల నుండి ఉద్భవించాయి.

COLDRIVER, ప్రత్యామ్నాయంగా బ్లూ కాలిస్టో, బ్లూచార్లీ (TAG-53), కాలిస్టో (కాలిస్టో), డ్యాన్సింగ్ సలోమ్, గోసామెర్ బేర్, స్టార్ బ్లిజార్డ్ (గతంలో SEABORGIUM), TA446 మరియు UNC4057గా గుర్తించబడింది, 2019 నుండి యాక్టివ్‌గా ఉంది. దీని విభిన్న లక్ష్యాలు విద్యాసంస్థలు, రక్షణ, ప్రభుత్వ సంస్థలు, ప్రభుత్వేతర సంస్థలు, థింక్ ట్యాంక్‌లు, రాజకీయ సంస్థలు మరియు ఇటీవల, రక్షణ-పారిశ్రామిక మరియు ఇంధన సౌకర్యాలతో సహా.

మాల్‌వేర్‌ను అందించడానికి కోల్డ్‌రైవర్ ద్వారా స్పియర్-ఫిషింగ్ వ్యూహాలు ఉపయోగించబడ్డాయి

గ్రూప్ ద్వారా మౌంట్ చేయబడిన స్పియర్-ఫిషింగ్ క్యాంపెయిన్‌లు కాబోయే బాధితులతో పరస్పర విశ్వాసాన్ని పెంపొందించుకోవడానికి మరియు వారి ఆధారాలను సేకరించేందుకు మరియు ఖాతాలకు ప్రాప్యతను పొందేందుకు బూటకపు సైన్-ఇన్ పేజీలను పంచుకోవడం అనే అంతిమ లక్ష్యంతో రూపొందించబడ్డాయి. యాక్టర్-నియంత్రిత అవస్థాపన యొక్క స్వయంచాలక స్కానింగ్‌ను నిరోధించడానికి మరియు ఫిషింగ్ ల్యాండింగ్ పేజీలకు దారి మళ్లించే ముందు ఆసక్తి లక్ష్యాలను నిర్ణయించడానికి సైబర్ క్రైమ్ గ్రూప్ సర్వర్-సైడ్ స్క్రిప్ట్‌లను ఉపయోగించడం గమనించబడింది.

ఫైల్‌లను తెరవడానికి లక్ష్యాలను ప్రలోభపెట్టడానికి బెదిరింపు నటుడు నిరపాయమైన PDF డాక్యుమెంట్‌లను నవంబర్ 2022 నాటికి ప్రారంభ బిందువుగా ఉపయోగిస్తున్నారు. COLDRIVER ఈ పత్రాలను కొత్త op-ed లేదా మరొక రకమైన కథనం వలె ప్రతిరూపణ ఖాతా ప్రచురించాలని చూస్తోంది, లక్ష్యం నుండి అభిప్రాయాన్ని అడుగుతుంది. వినియోగదారు నిరపాయమైన PDFని తెరిచినప్పుడు, టెక్స్ట్ ఎన్‌క్రిప్ట్ చేయబడినట్లు కనిపిస్తుంది.

ఈవెంట్‌లో, గ్రహీత పత్రాన్ని చదవలేరని తెలిపే సందేశానికి ప్రతిస్పందిస్తారు మరియు క్లౌడ్ స్టోరేజ్ సేవలో హోస్ట్ చేయబడిన ఉద్దేశించిన డిక్రిప్షన్ టూల్ ('Proton-decrypter.exe') లింక్‌తో బెదిరింపు నటుడు ప్రతిస్పందిస్తారు. 'Proton-decrypter.exe' పేరు యొక్క ఎంపిక గుర్తించదగినది, ఎందుకంటే విరోధి ప్రధానంగా ఫిషింగ్ సందేశాల ద్వారా PDF ఎరలను పంపడానికి ప్రోటాన్ డ్రైవ్‌ను ఉపయోగిస్తాడు.

SPICA బ్యాక్‌డోర్ డిక్రిప్టర్ ముసుగులో తొలగించబడింది

వాస్తవానికి, డిక్రిప్టర్ SPICA అని పిలవబడే బ్యాక్‌డోర్ ముప్పుగా పనిచేస్తుంది, మోసాన్ని నిర్వహించడానికి ఒక డెకోయ్ డాక్యుమెంట్‌ను ఏకకాలంలో ప్రదర్శించేటప్పుడు COLDRIVER తెలివిగా సిస్టమ్‌ను యాక్సెస్ చేయడానికి అనుమతిస్తుంది. SPICA, COLDRIVER యొక్క ప్రారంభ కస్టమ్ మాల్వేర్, కమాండ్-అండ్-కంట్రోల్ (C2) కోసం వెబ్‌సాకెట్‌ల ద్వారా JSONని ఉపయోగిస్తుంది, ఏకపక్ష షెల్ ఆదేశాలను అమలు చేయడం, వెబ్ బ్రౌజర్‌ల నుండి కుక్కీలను దొంగిలించడం, ఫైల్‌లను అప్‌లోడ్ చేయడం మరియు డౌన్‌లోడ్ చేయడం మరియు డేటాను నమోదు చేయడం వంటి వివిధ చర్యలను సులభతరం చేస్తుంది. షెడ్యూల్ చేయబడిన పని ద్వారా పట్టుదల ఏర్పడుతుంది.

అమలు చేసిన తర్వాత, SPICA పొందుపరిచిన PDFని డీకోడ్ చేస్తుంది, దానిని డిస్క్‌లో సేవ్ చేస్తుంది మరియు వినియోగదారు కోసం దానిని డికోయ్‌గా తెరుస్తుంది. అదే సమయంలో, ఇది నిలకడను ఏర్పరుస్తుంది మరియు ప్రాథమిక C2 లూప్‌ను ప్రారంభిస్తుంది, నేపథ్యంలో అమలు కోసం ఆదేశాల కోసం వేచి ఉంది.

జాతీయ-రాష్ట్ర నటుడు నవంబర్ 2022 లోనే ఈ ఇంప్లాంట్‌ను ఉపయోగించడం ప్రారంభించినట్లు ఆధారాలు సూచిస్తున్నాయి. సైబర్‌సెక్యూరిటీ బృందం 'ఎన్‌క్రిప్టెడ్' PDF ఎర యొక్క బహుళ వైవిధ్యాలను గుర్తించింది, ఇది లక్ష్యాలకు పంపబడిన నిర్దిష్ట ఎర పత్రాలకు అనుగుణంగా SPICA యొక్క విభిన్న వెర్షన్‌ల ఉనికిని సూచిస్తుంది. .

NGOలు, మాజీ ఇంటెలిజెన్స్ మరియు సైనిక అధికారులు, రక్షణ రంగాలు మరియు NATO ప్రభుత్వాలలోని ప్రముఖ వ్యక్తులపై దృష్టి సారించి, SPICA బ్యాక్‌డోర్ అత్యంత లక్ష్యంగా మరియు పరిమిత దాడులలో ఉపయోగించబడిందని పరిశోధకులు అనుమానిస్తున్నారు.