SPICA Bagdør knyttet til Russian Hacker Collective
The Threat Analysis Group (TAG) hos Google afslørede, at den russiske hackergruppe COLDRIVER er engageret i legitimationsphishing-aktiviteter rettet mod fremtrædende ngo'er, tidligere efterretnings- og militærpersonel samt NATO-regeringer.
TAG har aktivt overvåget og rapporteret om COLDRIVERs spionageindsats i overensstemmelse med den russiske regerings interesser. I et forsøg på at øge fællesskabets bevidsthed om COLDRIVERs aktiviteter fremhævede Wesley Shields fra TAG deres udvidede muligheder, som nu omfatter implementering af malware.
COLDRIVER gennemfører kampagner mod Ukraine, NATO-nationer, akademiske institutioner og ngo'er. Gruppen antager ofte skikkelse af eksperter eller personer forbundet med målet for at vinde tillid fra deres ofre.
TAG har observeret, at COLDRIVER sender tilsyneladende harmløse PDF-dokumenter fra efterligningskonti og præsenterer dem som op-eds eller artikler, der søger feedback til offentliggørelse. Når PDF'erne åbnes, afsløres teksten som krypteret.
Hvis målet udtrykker vanskeligheder med at læse dokumentet, svarer efterligningskontoen med et link, der hævder at være et "dekrypterings"-værktøj. Dette værktøj er dog i virkeligheden en bagdør kendt som SPICA, der giver angriberne adgang til ofrets maskine.
Hvad er SPICA-bagdøren helt præcist?
SPICA-bagdørs-malwaren er et kundeværktøj skrevet i Rust, der bruger websocket-kommunikation til at styre og kontrollere berørte enheder. Det giver angribere mulighed for at udføre forskellige kommandoer på inficerede enheder, såsom at køre vilkårlige shell-kommandoer, stjæle cookies fra browsere som Chrome, Firefox, Opera og Edge, uploade og downloade filer, få adgang til filsystemet og eksfiltrere dokumenter.
Google bruger TAG's resultater til at forbedre sikkerheden og sikkerheden for sine produkter. De identificerede websteder, domæner og filer er integreret i sikker browsing-protokoller for at forhindre yderligere udnyttelse. TAG underretter også målrettede Gmail- og Workspace-brugere om potentielle angreb og opfordrer dem til at bruge forbedret sikker browsing for ekstra beskyttelse.