SPICA后门

据观察，与俄罗斯有联系的威胁参与者 COLDRIVER 将其业务范围扩大到了凭证收集之外。它推出了第一个用 Rust 编程语言开发的定制恶意软件，该恶意软件被追踪为 SPICA 后门。与 COLDRIVER 相关的攻击策略利用 PDF 作为诱饵文档来启动感染序列，欺骗性电子邮件源自模拟帐户。

COLDRIVER，也被称为 Blue Callisto、BlueCharlie (TAG-53)、Calisto (Callisto)、Dancing Salome、Gossamer Bear、Star Blizzard（以前称为 SEABORGIUM）、TA446 和 UNC4057，自 2019 年以来一直活跃。其目标涵盖各个领域，包括学术界、国防、政府实体、非政府组织、智囊团、政治实体，以及最近的国防工业和能源设施。

COLDRIVER 利用鱼叉式网络钓鱼策略传播恶意软件

该组织发起的鱼叉式网络钓鱼活动旨在与潜在受害者互动并建立信任，最终目标是共享虚假登录页面以获取他们的凭据并获取帐户访问权限。据观察，网络犯罪组织使用服务器端脚本来防止对攻击者控制的基础设施进行自动扫描，并在将目标重定向到网络钓鱼登陆页面之前确定感兴趣的目标。

早在 2022 年 11 月，威胁行为者就一直使用良性 PDF 文档作为起点，诱使目标打开文件。 COLDRIVER 将这些文件呈现为冒充帐户希望发布的新专栏或其他类型的文章，请求目标的反馈。当用户打开良性 PDF 时，文本会显示为加密的。

在这种情况下，收件人会回复消息，指出他们无法读取该文档，而威胁行为者会回复一个指向托管在云存储服务上的所谓解密工具（“Proton-decrypter.exe”）的链接。 “Proton-decrypter.exe”名称的选择值得注意，因为攻击者主要使用 Proton Drive 通过网络钓鱼消息发送 PDF 诱饵。

SPICA 后门在解密器的幌子下被泄露

实际上，解密器充当称为 SPICA 的后门威胁，允许 COLDRIVER 谨慎地访问系统，同时提供诱饵文档以维持欺骗。 SPICA 是 COLDRIVER 的首个定制恶意软件，利用基于 WebSockets 的 JSON 进行命令和控制 (C2)，促进各种操作，例如执行任意 shell 命令、从 Web 浏览器窃取 cookie、上传和下载文件以及枚举和泄露数据。持久性是通过计划任务建立的。

执行后，SPICA 会对嵌入的 PDF 进行解码，将其保存到磁盘，然后将其作为用户的诱饵打开。同时，它建立持久性并启动主 C2 循环，等待在后台执行的命令。

有证据表明，这个民族国家行为者早在 2022 年 11 月就开始使用这种植入程序。网络安全团队已识别出“加密”PDF 诱饵的多个变体，这表明可能存在针对发送到目标的特定诱饵文档定制的不同版本的 SPICA 。

研究人员怀疑 SPICA 后门已被用于高度针对性和有限的攻击，重点针对非政府组织内的知名人士、前情报和军事官员、国防部门和北约政府。