SPICA Backdoor

Ang banta ng aktor na COLDRIVER, na naka-link sa Russia, ay naobserbahang nagpapalawak ng mga operasyon nito lampas sa pag-aani ng kredensyal. Ipinakilala nito ang una nitong custom na malware na binuo sa Rust programming language na sinusubaybayan bilang backdoor ng SPICA. Ginagamit ng mga diskarte sa pag-atake na nauugnay sa COLDRIVER ang mga PDF bilang mga decoy na dokumento upang simulan ang pagkakasunud-sunod ng impeksyon, kasama ang mga mapanlinlang na email na nagmumula sa mga account ng pagpapanggap.

COLDRIVER, alternatibong kinikilala bilang Blue Callisto, BlueCharlie (TAG-53), Calisto (Calisto), Dancing Salome, Gossamer Bear, Star Blizzard (dating SEABORGIUM), TA446, at UNC4057, ay aktibo mula noong 2019. Ang mga target nito ay sumasaklaw sa magkakaibang sektor, kabilang ang akademya, depensa, mga entidad ng gobyerno, mga non-government na organisasyon, mga think tank, political entity, at, kamakailan lamang, mga pasilidad ng depensa-industriyal at enerhiya.

Spear-Phishing Tactics na Ginamit ng COLDRIVER para Maghatid ng Malware

Ang mga spear-phishing campaign na ini-mount ng grupo ay idinisenyo upang makipag-ugnayan at bumuo ng tiwala sa mga inaasahang biktima na may sukdulang layunin ng pagbabahagi ng mga huwad na pahina ng pag-sign in upang makuha ang kanilang mga kredensyal at magkaroon ng access sa mga account. Ang pangkat ng cybercrime ay naobserbahan gamit ang mga script sa gilid ng server upang maiwasan ang awtomatikong pag-scan ng imprastraktura na kinokontrol ng aktor at matukoy ang mga target ng interes bago i-redirect ang mga ito sa mga landing page ng phishing.

Gumagamit ang threat actor ng mga benign PDF na dokumento bilang panimulang punto noong Nobyembre 2022 pa upang hikayatin ang mga target na buksan ang mga file. Ipinakikita ng COLDRIVER ang mga dokumentong ito bilang isang bagong op-ed o isa pang uri ng artikulo na gustong i-publish ng impersonation account, na humihingi ng feedback mula sa target. Kapag binuksan ng user ang benign PDF, lalabas na naka-encrypt ang text.

Kung sakaling mangyari, tutugon ang tatanggap sa mensaheng nagsasaad na hindi nila mabasa ang dokumento at tumugon ang aktor ng banta gamit ang isang link sa isang sinasabing tool sa pag-decryption ('Proton-decrypter.exe') na naka-host sa isang cloud storage service. Ang pagpili ng pangalang 'Proton-decrypter.exe' ay kapansin-pansin dahil ang kalaban ay kadalasang gumagamit ng Proton Drive upang ipadala ang mga PDF na pang-akit sa pamamagitan ng mga mensahe ng phishing.

Ang SPICA Backdoor ay Ibinaba sa ilalim ng Guise ng isang Decrypter

Sa totoo lang, gumagana ang decryptor bilang backdoor threat na kilala bilang SPICA, na nagpapahintulot sa COLDRIVER na maingat na ma-access ang system habang sabay-sabay na nagpapakita ng decoy na dokumento upang mapanatili ang panlilinlang. Ang SPICA, ang inaugural na custom na malware ng COLDRIVER, ay gumagamit ng JSON sa WebSockets para sa Command-and-Control (C2), na pinapadali ang iba't ibang aksyon tulad ng pagsasagawa ng mga arbitrary na command ng shell, pagnanakaw ng cookies mula sa mga web browser, pag-upload at pag-download ng mga file, at pag-enumerate at pag-exfiltrate ng data. Ang pagtitiyaga ay itinatag sa pamamagitan ng isang naka-iskedyul na gawain.

Sa pagpapatupad, ang SPICA ay nagde-decode ng isang naka-embed na PDF, ini-save ito sa disk, at binubuksan ito bilang isang decoy para sa user. Kasabay nito, nagtatatag ito ng pagtitiyaga at sinisimulan ang pangunahing C2 loop, naghihintay ng mga utos para sa pagpapatupad sa background.

Iminumungkahi ng ebidensya na nagsimulang gamitin ng aktor ng bansang estado ang implant na ito noong Nobyembre 2022. Natukoy ng cybersecurity team ang maraming variant ng 'naka-encrypt' na PDF lure, na nagpapahiwatig ng posibleng pagkakaroon ng iba't ibang bersyon ng SPICA na iniayon sa mga partikular na dokumento ng lure na ipinadala sa mga target. .

Pinaghihinalaan ng mga mananaliksik na ang SPICA Backdoor ay ginamit sa mataas na target at limitadong pag-atake, na may pagtuon sa mga kilalang indibidwal sa loob ng mga NGO, dating opisyal ng intelligence at militar, mga sektor ng depensa at mga pamahalaan ng NATO.