SPICA後門

據觀察，與俄羅斯有聯繫的威脅參與者 COLDRIVER 將其業務範圍擴大到了憑證收集之外。它推出了第一個用 Rust 程式語言開發的客製化惡意軟體，該惡意軟體被追蹤為 SPICA 後門。與 COLDRIVER 相關的攻擊策略利用 PDF 作為誘餌文件來啟動感染序列，欺騙性電子郵件源自模擬帳戶。

COLDRIVER，也被稱為Blue Callisto、BlueCharlie (TAG-53)、Calisto (Callisto)、Dancing Salome、Gossamer Bear、Star Blizzard（以前稱為SEABORGIUM）、TA446 和UNC4057，自2019 年以來一直活躍。其目標涵蓋各個領域，包括學術界、國防、政府實體、非政府組織、智庫、政治實體，以及最近的國防工業和能源設施。

COLDRIVER 利用魚叉式網路釣魚策略傳播惡意軟體

該組織發起的魚叉式網路釣魚活動旨在與潛在受害者互動並建立信任，最終目標是共享虛假登入頁面以獲取他們的憑證並獲取帳戶存取權。據觀察，網路犯罪組織使用伺服器端腳本來防止對攻擊者控制的基礎設施進行自動掃描，並在將目標重定向到網路釣魚登陸頁面之前確定感興趣的目標。

早在 2022 年 11 月，威脅行為者就一直使用良性 PDF 文件作為起點，誘使目標開啟文件。 COLDRIVER 將這些文件呈現為冒充帳戶希望發布的新專欄或其他類型的文章，請求目標的回饋。當使用者開啟良性 PDF 時，文字會顯示為加密的。

在這種情況下，收件人會回覆訊息，指出他們無法讀取該文檔，而威脅行為者會回覆一個指向託管在雲端儲存服務上的所謂解密工具（「Proton-decrypter.exe」）的鏈接。 「Proton-decrypter.exe」名稱的選擇值得注意，因為攻擊者主要使用 Proton Drive 透過網路釣魚訊息發送 PDF 誘餌。

SPICA 後門在解密器的幌子下被洩露

實際上，解密器充當稱為 SPICA 的後門威脅，允許 COLDRIVER 謹慎地存取系統，同時提供誘餌文件以維持欺騙。 SPICA 是COLDRIVER 的首個自訂惡意軟體，利用基於WebSockets 的JSON 進行命令和控制(C2)，促進各種操作，例如執行任意shell 命令、從Web 瀏覽器竊取cookie、上傳和下載檔案以及枚舉和洩露數據。持久性是透過計劃任務建立的。

執行後，SPICA 會對嵌入的 PDF 進行解碼，將其儲存到磁碟，然後將其作為使用者的誘餌打開。同時，它建立持久性並啟動主 C2 循環，等待在背景執行的命令。

有證據表明，該民族國家行為者早在2022 年11 月就開始使用這種植入程序。網路安全團隊已識別出「加密」PDF 誘餌的多個變體，表明可能存在針對發送到目標的特定誘餌文件定制的不同版本的SPICA 。

研究人員懷疑 SPICA 後門已被用於高度針對性和有限的攻擊，重點是針對非政府組織內的知名人士、前情報和軍事官員、國防部門和北約政府。