Cửa sau SPICA

Tác nhân đe dọa COLDRIVER, có liên kết với Nga, đã được quan sát thấy đang mở rộng hoạt động của mình ngoài việc thu thập thông tin xác thực. Nó đã giới thiệu phần mềm độc hại tùy chỉnh đầu tiên được phát triển bằng ngôn ngữ lập trình Rust đang được theo dõi dưới dạng cửa hậu SPICA. Các chiến lược tấn công liên quan đến COLDRIVER sử dụng các tệp PDF làm tài liệu mồi nhử để bắt đầu chuỗi lây nhiễm, với các email lừa đảo có nguồn gốc từ các tài khoản mạo danh.

COLDRIVER, còn được gọi là Blue Callisto, BlueCharlie (TAG-53), Calisto (Callisto), Dancing Salome, Gossamer Bear, Star Blizzard (trước đây là SEABORGIUM), TA446 và UNC4057, đã hoạt động từ năm 2019. Mục tiêu của nó trải rộng trên nhiều lĩnh vực khác nhau, bao gồm các học viện, quốc phòng, các tổ chức chính phủ, các tổ chức phi chính phủ, các tổ chức nghiên cứu, các tổ chức chính trị và gần đây hơn là các cơ sở năng lượng và công nghiệp quốc phòng.

Chiến thuật lừa đảo trực tuyến được COLDRIVER sử dụng để phát tán phần mềm độc hại

Các chiến dịch lừa đảo trực tuyến do nhóm thực hiện được thiết kế để thu hút và tạo dựng niềm tin với các nạn nhân tiềm năng với mục tiêu cuối cùng là chia sẻ các trang đăng nhập giả mạo để lấy thông tin đăng nhập của họ và giành quyền truy cập vào tài khoản. Nhóm tội phạm mạng đã được quan sát thấy bằng cách sử dụng các tập lệnh phía máy chủ để ngăn chặn quá trình quét tự động cơ sở hạ tầng do tác nhân kiểm soát và xác định các mục tiêu quan tâm trước khi chuyển hướng chúng đến các trang đích lừa đảo.

Kẻ đe dọa đã sử dụng các tài liệu PDF lành tính làm điểm khởi đầu từ tháng 11 năm 2022 để lôi kéo mục tiêu mở tệp. COLDRIVER trình bày những tài liệu này dưới dạng một bài viết mới hoặc một loại bài viết khác mà tài khoản mạo danh đang muốn xuất bản, yêu cầu phản hồi từ mục tiêu. Khi người dùng mở tệp PDF lành tính, văn bản sẽ được mã hóa.

Trong trường hợp này, người nhận sẽ phản hồi thông báo cho biết họ không thể đọc tài liệu và kẻ đe dọa sẽ phản hồi bằng một liên kết đến công cụ giải mã có mục đích ('Proton-decrypter.exe') được lưu trữ trên dịch vụ lưu trữ đám mây. Việc lựa chọn tên 'Proton-decrypter.exe' là đáng chú ý vì đối thủ chủ yếu sử dụng Proton Drive để gửi các mồi PDF thông qua các tin nhắn lừa đảo.

Cửa sau SPICA bị loại bỏ dưới vỏ bọc của bộ giải mã

Trên thực tế, bộ giải mã hoạt động như một mối đe dọa cửa sau được gọi là SPICA, cho phép COLDRIVER truy cập hệ thống một cách kín đáo đồng thời đưa ra một tài liệu mồi nhử để duy trì hành vi lừa dối. SPICA, phần mềm độc hại tùy chỉnh đầu tiên của COLDRIVER, sử dụng JSON trên WebSockets cho Lệnh và Kiểm soát (C2), tạo điều kiện cho nhiều hành động khác nhau như thực thi các lệnh shell tùy ý, ăn cắp cookie từ trình duyệt web, tải lên và tải xuống tệp cũng như liệt kê và lọc dữ liệu. Sự kiên trì được thiết lập thông qua một nhiệm vụ theo lịch trình.

Sau khi thực thi, SPICA giải mã một tệp PDF được nhúng, lưu nó vào đĩa và mở nó làm mồi nhử cho người dùng. Đồng thời, nó thiết lập tính bền vững và khởi tạo vòng lặp C2 chính, chờ lệnh thực thi ở chế độ nền.

Bằng chứng cho thấy tác nhân quốc gia đã bắt đầu sử dụng thiết bị cấy ghép này sớm nhất là vào tháng 11 năm 2022. Nhóm an ninh mạng đã xác định được nhiều biến thể của mồi nhử PDF 'được mã hóa', cho thấy khả năng tồn tại của các phiên bản SPICA khác nhau được điều chỉnh cho phù hợp với các tài liệu dụ dỗ cụ thể được gửi đến mục tiêu .

Các nhà nghiên cứu nghi ngờ rằng Cửa sau SPICA đã được sử dụng trong các cuộc tấn công có mục tiêu cao và có giới hạn, tập trung vào các cá nhân nổi bật trong các tổ chức phi chính phủ, các cựu quan chức tình báo và quân sự, khu vực quốc phòng và chính phủ NATO.