SPICA Arka Kapı

Rusya ile bağlantılı tehdit aktörü COLDRIVER'ın, faaliyetlerini kimlik bilgisi toplamanın ötesine genişlettiği gözlemlendi. Rust programlama dilinde geliştirilen ve SPICA arka kapısı olarak takip edilen ilk özel kötü amaçlı yazılımını tanıttı. COLDRIVER ile ilişkili saldırı stratejileri, kimliğe bürünme hesaplarından kaynaklanan yanıltıcı e-postalar ile enfeksiyon dizisini başlatmak için PDF'leri tuzak belgeler olarak kullanır.

Alternatif olarak Blue Callisto, BlueCharlie (TAG-53), Calisto (Callisto), Dancing Salome, Gossamer Bear, Star Blizzard (eski adıyla SEABORGIUM), TA446 ve UNC4057 olarak tanınan COLDRIVER, 2019 yılından beri faaliyet göstermektedir. Hedefleri çeşitli sektörleri kapsamaktadır. akademi, savunma, devlet kurumları, sivil toplum kuruluşları, düşünce kuruluşları, siyasi kuruluşlar ve son zamanlarda savunma sanayii ve enerji tesisleri dahil.

COLDRIVER Tarafından Kötü Amaçlı Yazılım Sunmak İçin Kullanılan Hedefli Kimlik Avı Taktikleri

Grubun düzenlediği hedef odaklı kimlik avı kampanyaları, potansiyel kurbanlarla etkileşim kurmak ve güven oluşturmak için tasarlandı; nihai amaç, kimlik bilgilerini toplamak ve hesaplara erişim sağlamak için sahte oturum açma sayfalarını paylaşmaktı. Siber suç grubunun, aktör kontrollü altyapının otomatik olarak taranmasını önlemek ve ilgilenilen hedefleri kimlik avı açılış sayfalarına yönlendirmeden önce belirlemek için sunucu tarafı komut dosyaları kullandığı gözlemlendi.

Tehdit aktörü, hedefleri dosyaları açmaya ikna etmek için Kasım 2022'den beri başlangıç noktası olarak zararsız PDF belgelerini kullanıyordu. COLDRIVER, bu belgeleri, kimliğe bürünme hesabının yayınlamayı düşündüğü yeni bir köşe yazısı veya başka türde bir makale olarak sunar ve hedeften geri bildirim ister. Kullanıcı iyi huylu PDF'yi açtığında metin şifrelenmiş olarak görünür.

Bu durumda alıcı, belgeyi okuyamadığını belirten mesaja yanıt verir ve tehdit aktörü, bir bulut depolama hizmetinde barındırıldığı iddia edilen şifre çözme aracına ('Proton-decrypter.exe') bir bağlantıyla yanıt verir. 'Proton-decrypter.exe' adının seçilmesi dikkat çekicidir çünkü saldırgan, kimlik avı mesajları yoluyla PDF yemlerini göndermek için ağırlıklı olarak Proton Drive'ı kullanır.

SPICA Arka Kapısı Şifre Çözücü Kisvesi Altında Bırakılıyor

Gerçekte şifre çözücü, SPICA olarak bilinen bir arka kapı tehdidi olarak işlev görüyor ve COLDRIVER'ın sisteme gizli bir şekilde erişmesine olanak tanırken aynı zamanda aldatmayı sürdürmek için sahte bir belge sunuyor. COLDRIVER'ın ilk özel kötü amaçlı yazılımı SPICA, Komuta ve Kontrol (C2) için WebSockets üzerinden JSON'u kullanarak rastgele kabuk komutları yürütmek, web tarayıcılarından çerez çalmak, dosyaları yüklemek ve indirmek ve verileri numaralandırmak ve dışarı çıkarmak gibi çeşitli eylemleri kolaylaştırır. Kalıcılık, zamanlanmış bir görev aracılığıyla sağlanır.

Yürütme üzerine SPICA, gömülü PDF'nin kodunu çözer, onu diske kaydeder ve kullanıcı için bir tuzak olarak açar. Eş zamanlı olarak kalıcılık sağlar ve birincil C2 döngüsünü başlatır, arka planda komutların yürütülmesini bekler.

Kanıtlar, ulus devlet aktörünün bu implantı Kasım 2022 gibi erken bir tarihte kullanmaya başladığını gösteriyor. Siber güvenlik ekibi, 'şifreli' PDF yeminin birden fazla varyantını tespit etti; bu da, hedeflere gönderilen belirli yem belgelerine göre uyarlanmış SPICA'nın farklı versiyonlarının olası varlığına işaret ediyor .

Araştırmacılar, SPICA Arka Kapısının, STK'lardaki önde gelen kişilere, eski istihbarat ve askeri yetkililere, savunma sektörlerine ve NATO hükümetlerine odaklanan, yüksek hedefli ve sınırlı saldırılarda kullanıldığından şüpheleniyor.