Το SPICA Backdoor συνδέεται με το Russian Hacker Collective

Η Ομάδα Ανάλυσης Απειλών (TAG) της Google αποκάλυψε ότι η ρωσική ομάδα χάκερ COLDRIVER εμπλέκεται σε δραστηριότητες phishing διαπιστευτηρίων που στοχεύουν εξέχουσες ΜΚΟ, πρώην μέλη του προσωπικού πληροφοριών και στρατιωτικών υπηρεσιών, καθώς και κυβερνήσεις του ΝΑΤΟ.

Η TAG παρακολουθεί ενεργά και αναφέρει τις προσπάθειες κατασκοπείας της COLDRIVER που ευθυγραμμίζονται με τα συμφέροντα της ρωσικής κυβέρνησης. Σε μια προσπάθεια να ενισχύσει την ευαισθητοποίηση της κοινότητας για τις δραστηριότητες της COLDRIVER, η Wesley Shields της TAG τόνισε τις εκτεταμένες δυνατότητές τους, οι οποίες τώρα περιλαμβάνουν την ανάπτυξη κακόβουλου λογισμικού.

Η COLDRIVER διεξάγει εκστρατείες κατά της Ουκρανίας, των κρατών του ΝΑΤΟ, των ακαδημαϊκών ιδρυμάτων και των ΜΚΟ. Η ομάδα συχνά υιοθετεί το πρόσχημα των ειδικών ή ατόμων που συνδέονται με τον στόχο για να κερδίσει την εμπιστοσύνη των θυμάτων τους.

Η TAG παρατήρησε ότι η COLDRIVER στέλνει φαινομενικά αβλαβή έγγραφα PDF από λογαριασμούς πλαστοπροσωπίας, παρουσιάζοντάς τα ως op-ed ή άρθρα που αναζητούν σχόλια για δημοσίευση. Με το άνοιγμα των PDF, το κείμενο αποκαλύπτεται ότι είναι κρυπτογραφημένο.

Εάν ο στόχος εκφράζει δυσκολία στην ανάγνωση του εγγράφου, ο λογαριασμός πλαστοπροσωπίας απαντά με έναν σύνδεσμο που ισχυρίζεται ότι είναι ένα βοηθητικό πρόγραμμα "αποκρυπτογράφησης". Ωστόσο, αυτό το βοηθητικό πρόγραμμα είναι, στην πραγματικότητα, μια κερκόπορτα γνωστή ως SPICA, η οποία παρέχει στους επιτιθέμενους πρόσβαση στο μηχάνημα του θύματος.

Τι ακριβώς είναι το SPICA Backdoor;

Το κακόβουλο λογισμικό SPICA backdoor είναι ένα εργαλείο πελατών γραμμένο σε Rust, το οποίο χρησιμοποιεί την επικοινωνία websocket για την εντολή και τον έλεγχο των επηρεαζόμενων συσκευών. Εξουσιοδοτεί τους εισβολείς να εκτελούν διάφορες εντολές σε μολυσμένες συσκευές, όπως εκτέλεση αυθαίρετων εντολών φλοιού, κλοπή cookie από προγράμματα περιήγησης όπως Chrome, Firefox, Opera και Edge, ανέβασμα και λήψη αρχείων, πρόσβαση στο σύστημα αρχείων και εξαγωγή εγγράφων.

Η Google χρησιμοποιεί τα ευρήματα της TAG για να βελτιώσει την ασφάλεια και την ασφάλεια των προϊόντων της. Οι εντοπισμένοι ιστότοποι, τομείς και αρχεία ενσωματώνονται σε πρωτόκολλα ασφαλούς περιήγησης για την αποφυγή περαιτέρω εκμετάλλευσης. Το TAG ειδοποιεί επίσης τους στοχευμένους χρήστες του Gmail και του Workspace για πιθανές επιθέσεις και τους ενθαρρύνει να χρησιμοποιούν βελτιωμένη ασφαλή περιήγηση για πρόσθετη προστασία.