Бекдор SPICA

Загрозливий актор COLDRIVER, пов’язаний з Росією, розширює свої операції за межі збору облікових даних. Він представив своє перше спеціальне шкідливе програмне забезпечення, розроблене на мові програмування Rust, яке відстежується як бекдор SPICA. Стратегії атак, пов’язані з COLDRIVER, використовують PDF-файли як документи-приманки, щоб ініціювати послідовність зараження, при цьому оманливі електронні листи надходять з імітованих облікових записів.

COLDRIVER, альтернативно відомий як Blue Callisto, BlueCharlie (TAG-53), Calisto (Callisto), Dancing Salome, Gossamer Bear, Star Blizzard (раніше SEABORGIUM), TA446 і UNC4057, працює з 2019 року. Його цілі охоплюють різні сектори, включаючи наукові кола, оборону, державні установи, неурядові організації, аналітичні центри, політичні організації, а останнім часом і оборонно-промислові та енергетичні об’єкти.

Тактика фішингу, яку використовує COLDRIVER для доставки зловмисного програмного забезпечення

Фішингові кампанії, організовані групою, розроблені для залучення та зміцнення довіри потенційних жертв з кінцевою метою поширювати фальшиві сторінки входу, щоб отримати їхні облікові дані та отримати доступ до облікових записів. Було виявлено, що група кіберзлочинців використовує серверні сценарії, щоб запобігти автоматичному скануванню контрольованої актором інфраструктури та визначити цілі, які цікавлять, перш ніж перенаправляти їх на цільові сторінки фішингу.

Зловмисник використовував безпечні PDF-документи як відправну точку ще в листопаді 2022 року, щоб спонукати цілі відкрити файли. COLDRIVER представляє ці документи як нову статтю або інший тип статті, яку намагається опублікувати авторизований обліковий запис, запитуючи відгук від об’єкта. Коли користувач відкриває доброякісний PDF-файл, текст виглядає зашифрованим.

У цьому випадку одержувач відповідає на повідомлення, вказуючи, що не може прочитати документ, а загрозливий суб’єкт відповідає посиланням на передбачуваний інструмент дешифрування («Proton-decrypter.exe»), розміщений у хмарному сховищі. Вибір назви «Proton-decrypter.exe» примітний, оскільки зловмисник переважно використовує Proton Drive для надсилання PDF-приманок через фішингові повідомлення.

Бекдор SPICA скидається під виглядом дешифратора

Насправді дешифратор функціонує як бекдор-загроза, відома як SPICA, дозволяючи COLDRIVER непомітно отримати доступ до системи, одночасно представляючи документ-приманку для підтримки обману. SPICA, перше спеціальне шкідливе програмне забезпечення COLDRIVER, використовує JSON через WebSockets для командування та керування (C2), полегшуючи різні дії, такі як виконання довільних команд оболонки, крадіжка файлів cookie з веб-браузерів, завантаження та завантаження файлів, а також перерахування та вилучення даних. Наполегливість встановлюється за допомогою запланованого завдання.

Після виконання SPICA декодує вбудований PDF-файл, зберігає його на диску та відкриває як приманку для користувача. Одночасно він встановлює постійність і ініціює первинний цикл C2, очікуючи команд для виконання у фоновому режимі.

Докази свідчать про те, що актор національної держави почав використовувати цей імплантат ще в листопаді 2022 року. Команда з кібербезпеки виявила кілька варіантів «зашифрованого» PDF-приманки, що вказує на можливе існування різних версій SPICA, адаптованих до конкретних документів-приманок, які надсилаються цілям. .

Дослідники підозрюють, що бекдор SPICA використовувався для цілеспрямованих і обмежених атак, зосереджених на видатних особах у неурядових організаціях, колишніх розвідувальних і військових чиновниках, оборонних секторах і урядах НАТО.