SPICA バックドア

ロシアと関係のある脅威アクター COLDRIVER は、認証情報の収集を超えて活動を拡大していることが観察されています。同社は、Rust プログラミング言語で開発された最初のカスタム マルウェアを導入しました。これは SPICA バックドアとして追跡されています。 COLDRIVER に関連する攻撃戦略では、PDF をおとりドキュメントとして利用して感染シーケンスを開始し、なりすましアカウントからの詐欺メールが送信されます。

COLDRIVER は、Blue Callisto、BlueCharlie (TAG-53)、Calisto (Callisto)、Dancing Salome、Gossamer Bear、Star Blizzard (旧 SEABORGIUM)、TA446、UNC4057 としても知られ、2019 年から活動しています。そのターゲットはさまざまな分野に及びます。これには、学界、防衛、政府機関、非政府組織、シンクタンク、政治団体、さらに最近では防衛産業やエネルギー施設も含まれます。

COLDRIVER がマルウェアを配信するために利用したスピア フィッシング戦術

このグループが仕掛けたスピア フィッシング キャンペーンは、偽のサインイン ページを共有して資格情報を収集し、アカウントにアクセスすることを最終目標として、潜在的な被害者と関わり、信頼を築くことを目的としています。このサイバー犯罪グループは、サーバーサイド スクリプトを使用して、攻撃者が制御するインフラストラクチャの自動スキャンを防ぎ、フィッシング ランディング ページにリダイレクトする前に関心のあるターゲットを特定していることが観察されています。

攻撃者は 2022 年 11 月から無害な PDF ドキュメントを出発点として使用し、ターゲットを誘導してファイルを開かせてきました。 COLDRIVER は、偽装アカウントが公開しようとしている新しい論説または別のタイプの記事としてこれらの文書を提示し、ターゲットからのフィードバックを求めます。ユーザーが無害な PDF を開くと、テキストは暗号化されて表示されます。

この場合、受信者は文書を読めない旨のメッセージに応答し、攻撃者はクラウド ストレージ サービス上でホストされているとされる復号ツール (「Proton-decrypter.exe」) へのリンクを応答します。攻撃者は主に Proton Drive を使用してフィッシング メッセージを通じて PDF ルアーを送信しているため、「Proton-decrypter.exe」という名前の選択は注目に値します。

SPICA バックドアが復号化ツールを装って投下される

実際には、復号ツールは SPICA として知られるバックドアの脅威として機能し、COLDRIVER がシステムに慎重にアクセスできるようにしながら、同時に欺瞞を維持するためのおとりドキュメントを提示します。 COLDRIVER の最初のカスタム マルウェアである SPICA は、コマンド アンド コントロール (C2) に WebSocket 経由で JSON を利用し、任意のシェル コマンドの実行、Web ブラウザからの Cookie の窃取、ファイルのアップロードとダウンロード、データの列挙と抽出などのさまざまなアクションを容易にします。永続性は、スケジュールされたタスクによって確立されます。

実行すると、SPICA は埋め込まれた PDF をデコードしてディスクに保存し、ユーザーのおとりとして開きます。同時に、永続性を確立してプライマリ C2 ループを開始し、バックグラウンドでの実行のためのコマンドを待ちます。

証拠によると、この国家攻撃者は、早ければ 2022 年 11 月にはこのインプラントの使用を開始しました。サイバーセキュリティ チームは、「暗号化された」PDF ルアーの複数の亜種を特定しました。これは、ターゲットに送信される特定のルアー文書に合わせて調整された SPICA の異なるバージョンが存在する可能性を示しています。 。

研究者らは、SPICA バックドアが、NGO、元諜報機関および軍関係者、防衛部門、NATO 政府内の著名な人物に焦点を当てた、高度に標的を絞った限定的な攻撃に使用されたのではないかと疑っています。