ประตูหลัง SPICA

ผู้แสดงภัยคุกคาม COLDRIVER ซึ่งเชื่อมโยงกับรัสเซีย ได้รับการสังเกตว่าขยายการดำเนินงานนอกเหนือจากการเก็บเกี่ยวข้อมูลประจำตัว ได้เปิดตัวมัลแวร์แบบกำหนดเองตัวแรกที่พัฒนาในภาษาการเขียนโปรแกรม Rust ที่ถูกติดตามว่าเป็นแบ็คดอร์ SPICA กลยุทธ์การโจมตีที่เกี่ยวข้องกับ COLDRIVER ใช้ PDF เป็นเอกสารล่อเพื่อเริ่มต้นลำดับการติดไวรัส โดยมีอีเมลหลอกลวงที่มาจากบัญชีแอบอ้างบุคคลอื่น

COLDRIVER หรืออีกชื่อหนึ่งคือ Blue Callisto, BlueCharlie (TAG-53), Calisto (Callisto), Dancing Salome, Gossamer Bear, Star Blizzard (เดิมชื่อ SEABORGIUM), TA446 และ UNC4057 เปิดใช้งานมาตั้งแต่ปี 2562 โดยมีเป้าหมายครอบคลุมภาคส่วนที่หลากหลาย รวมถึงสถาบันการศึกษา การกลาโหม หน่วยงานของรัฐ องค์กรพัฒนาเอกชน สถาบันวิจัย หน่วยงานทางการเมือง และล่าสุดคือ สิ่งอำนวยความสะดวกด้านอุตสาหกรรมกลาโหมและพลังงาน

กลยุทธ์ฟิชชิ่งแบบหอกที่ COLDRIVER ใช้เพื่อส่งมัลแวร์

แคมเปญฟิชชิ่งแบบหอกที่ติดตั้งโดยกลุ่มนี้ได้รับการออกแบบเพื่อมีส่วนร่วมและสร้างความไว้วางใจกับผู้ที่ตกเป็นเหยื่อโดยมีเป้าหมายสูงสุดในการแบ่งปันหน้าลงชื่อเข้าใช้ปลอมเพื่อเก็บเกี่ยวข้อมูลประจำตัวและเข้าถึงบัญชี กลุ่มอาชญากรรมไซเบอร์ได้รับการสังเกตโดยใช้สคริปต์ฝั่งเซิร์ฟเวอร์เพื่อป้องกันการสแกนอัตโนมัติของโครงสร้างพื้นฐานที่ควบคุมโดยนักแสดง และกำหนดเป้าหมายที่สนใจก่อนที่จะเปลี่ยนเส้นทางไปยังหน้า Landing Page ของฟิชชิ่ง

ผู้คุกคามได้ใช้เอกสาร PDF ที่ไม่เป็นอันตรายเป็นจุดเริ่มต้นตั้งแต่เดือนพฤศจิกายน 2022 เพื่อดึงดูดเป้าหมายให้เปิดไฟล์ COLDRIVER นำเสนอเอกสารเหล่านี้เป็น op-ed ใหม่หรือบทความประเภทอื่นที่บัญชีการแอบอ้างบุคคลอื่นต้องการเผยแพร่ เพื่อขอคำติชมจากเป้าหมาย เมื่อผู้ใช้เปิด PDF ที่ไม่เป็นอันตราย ข้อความจะปรากฏว่าได้รับการเข้ารหัส

ในกรณีที่ผู้รับตอบกลับข้อความที่ระบุว่าไม่สามารถอ่านเอกสารได้ และผู้คุกคามจะตอบกลับด้วยลิงก์ไปยังเครื่องมือถอดรหัสที่อ้างว่า ('Proton-decrypter.exe') ที่โฮสต์บนบริการจัดเก็บข้อมูลบนคลาวด์ การเลือกใช้ชื่อ 'Proton-decrypter.exe' นั้นมีความโดดเด่น เนื่องจากผู้ไม่หวังดีส่วนใหญ่ใช้ Proton Drive เพื่อส่งไฟล์ PDF ล่อลวงผ่านข้อความฟิชชิ่ง

แบ็คดอร์ SPICA ถูกทิ้งภายใต้หน้ากากของผู้ถอดรหัส

ในความเป็นจริง ตัวถอดรหัสทำหน้าที่เป็นภัยคุกคามลับๆ ที่เรียกว่า SPICA ซึ่งช่วยให้ COLDRIVER เข้าถึงระบบอย่างรอบคอบ ขณะเดียวกันก็แสดงเอกสารล่อเพื่อรักษาการหลอกลวงไปพร้อมๆ กัน SPICA ซึ่งเป็นมัลแวร์แบบกำหนดเองครั้งแรกของ COLDRIVER ใช้ JSON บน WebSockets สำหรับ Command-and-Control (C2) อำนวยความสะดวกในการดำเนินการต่างๆ เช่น การรันคำสั่งเชลล์ตามอำเภอใจ การขโมยคุกกี้จากเว็บเบราว์เซอร์ การอัปโหลดและดาวน์โหลดไฟล์ และการแจงนับและขโมยข้อมูล ความคงอยู่ถูกสร้างขึ้นผ่านงานที่กำหนดเวลาไว้

เมื่อดำเนินการ SPICA จะถอดรหัส PDF ที่ฝังไว้ บันทึกลงในดิสก์ และเปิดเป็นโปรแกรมหลอกลวงสำหรับผู้ใช้ ในขณะเดียวกันก็สร้างความคงอยู่และเริ่มการวนซ้ำ C2 หลัก โดยรอคำสั่งสำหรับการดำเนินการในเบื้องหลัง

หลักฐานแสดงให้เห็นว่านักแสดงของรัฐชาติเริ่มใช้อุปกรณ์เทียมนี้ตั้งแต่เดือนพฤศจิกายน 2565 ทีมรักษาความปลอดภัยทางไซเบอร์ได้ระบุรูปแบบล่อ PDF ที่ "เข้ารหัส" หลายรูปแบบ ซึ่งบ่งชี้ถึงความมีอยู่ของ SPICA เวอร์ชันต่างๆ ที่เป็นไปได้ซึ่งปรับให้เหมาะกับเอกสารล่อลวงเฉพาะที่ส่งไปยังเป้าหมาย .

นักวิจัยสงสัยว่า Backdoor ของ SPICA ถูกใช้ในการโจมตีแบบกำหนดเป้าหมายสูงและจำกัด โดยมุ่งเน้นไปที่บุคคลสำคัญภายใน NGO อดีตเจ้าหน้าที่ข่าวกรองและทหาร ภาคกลาโหม และรัฐบาล NATO