SPICA-Hintertür

Es wurde beobachtet, dass der mit Russland verbundene Bedrohungsakteur COLDRIVER seine Aktivitäten über das Sammeln von Anmeldedaten hinaus ausweitet. Es hat seine erste benutzerdefinierte Malware eingeführt, die in der Programmiersprache Rust entwickelt wurde und als SPICA-Hintertür verfolgt wird. Die mit COLDRIVER verbundenen Angriffsstrategien nutzen PDFs als Täuschungsdokumente, um die Infektionssequenz einzuleiten, wobei die betrügerischen E-Mails von gefälschten Konten stammen.

COLDRIVER, auch bekannt als Blue Callisto, BlueCharlie (TAG-53), Calisto (Callisto), Dancing Salome, Gossamer Bear, Star Blizzard (ehemals SEABORGIUM), TA446 und UNC4057, ist seit 2019 aktiv. Seine Ziele umfassen verschiedene Sektoren, Dazu gehören Wissenschaft, Verteidigung, Regierungsstellen, Nichtregierungsorganisationen, Denkfabriken, politische Einheiten und in jüngerer Zeit auch Einrichtungen der Verteidigungsindustrie und der Energiebranche.

Von COLDRIVER eingesetzte Spear-Phishing-Taktiken zur Verbreitung von Malware

Die von der Gruppe durchgeführten Spear-Phishing-Kampagnen zielen darauf ab, potenzielle Opfer anzusprechen und Vertrauen zu ihnen aufzubauen, mit dem ultimativen Ziel, gefälschte Anmeldeseiten weiterzugeben, um ihre Anmeldeinformationen abzugreifen und Zugriff auf die Konten zu erhalten. Es wurde beobachtet, dass die Cybercrime-Gruppe serverseitige Skripte verwendet, um das automatische Scannen der vom Akteur kontrollierten Infrastruktur zu verhindern und interessante Ziele zu ermitteln, bevor sie sie auf die Phishing-Landingpages umleitet.

Der Bedrohungsakteur nutzte bereits im November 2022 harmlose PDF-Dokumente als Ausgangspunkt, um die Ziele zum Öffnen der Dateien zu verleiten. COLDRIVER präsentiert diese Dokumente als neuen Kommentar oder einen anderen Artikeltyp, den das Imitationskonto veröffentlichen möchte, und bittet die Zielperson um Feedback. Wenn der Benutzer das harmlose PDF öffnet, erscheint der Text verschlüsselt.

In diesem Fall antwortet der Empfänger auf die Nachricht mit der Aussage, dass er das Dokument nicht lesen kann, und der Bedrohungsakteur antwortet mit einem Link zu einem angeblichen Entschlüsselungstool („Proton-decrypter.exe“), das auf einem Cloud-Speicherdienst gehostet wird. Die Wahl des Namens „Proton-decrypter.exe“ ist bemerkenswert, da der Angreifer hauptsächlich Proton Drive verwendet, um die PDF-Köder über die Phishing-Nachrichten zu versenden.

Die SPICA-Hintertür wird unter dem Deckmantel eines Entschlüsselers entfernt

Tatsächlich fungiert der Entschlüsseler als Backdoor-Bedrohung namens SPICA, die es COLDRIVER ermöglicht, diskret auf das System zuzugreifen und gleichzeitig ein Täuschungsdokument vorzulegen, um die Täuschung aufrechtzuerhalten. SPICA, die erste benutzerdefinierte Malware von COLDRIVER, nutzt JSON über WebSockets für Command-and-Control (C2) und ermöglicht so verschiedene Aktionen wie die Ausführung beliebiger Shell-Befehle, das Stehlen von Cookies aus Webbrowsern, das Hoch- und Herunterladen von Dateien sowie das Auflisten und Exfiltrieren von Daten. Persistenz wird durch eine geplante Aufgabe hergestellt.

Bei der Ausführung dekodiert SPICA ein eingebettetes PDF, speichert es auf der Festplatte und öffnet es als Lockvogel für den Benutzer. Gleichzeitig stellt es die Persistenz her und initiiert die primäre C2-Schleife, während es im Hintergrund auf Befehle zur Ausführung wartet.

Es gibt Hinweise darauf, dass der nationalstaatliche Akteur dieses Implantat bereits im November 2022 einsetzte. Das Cybersicherheitsteam hat mehrere Varianten des „verschlüsselten“ PDF-Köders identifiziert, was auf die mögliche Existenz verschiedener SPICA-Versionen hinweist, die auf bestimmte, an Ziele gesendete Köderdokumente zugeschnitten sind .

Forscher vermuten, dass die SPICA-Hintertür bei sehr gezielten und begrenzten Angriffen eingesetzt wurde, wobei der Schwerpunkt auf prominenten Personen innerhalb von NGOs, ehemaligen Geheimdienst- und Militärbeamten, Verteidigungssektoren und NATO-Regierungen lag.