A SPICA Backdoor az orosz hackerkollektívához kapcsolódik
A Google Fenyegetéselemző Csoportja (TAG) felfedte, hogy a COLDRIVER orosz hackercsoport hitelesítő adatokkal való adathalász tevékenységet folytat prominens civil szervezetek, korábbi hírszerzési és katonai személyzet, valamint NATO-kormányok ellen.
A TAG aktívan figyelemmel kíséri a COLDRIVER kémkedési erőfeszítéseit, és jelentéseket készít az orosz kormány érdekeivel összhangban. Annak érdekében, hogy növelje a közösség tudatosságát a COLDRIVER tevékenységeivel kapcsolatban, a TAG Wesley Shields kiemelte kibővített képességeit, amelyek most már a rosszindulatú programok telepítését is magukban foglalják.
A COLDRIVER kampányokat folytat Ukrajna, a NATO-országok, a tudományos intézmények és a civil szervezetek ellen. A csoport gyakran felveszi a célponthoz kapcsolódó szakértők vagy személyek álcáját, hogy elnyerje áldozataik bizalmát.
A TAG megfigyelte, hogy a COLDRIVER látszólag ártalmatlan PDF-dokumentumokat küld a megszemélyesítéssel foglalkozó fiókokból, és azokat közleményként vagy publikálásra visszajelzést kérő cikkként jeleníti meg. A PDF-ek megnyitásakor kiderül, hogy a szöveg titkosított.
Ha a célszemély nehézséget jelez a dokumentum olvasása során, a megszemélyesítési fiók egy hivatkozással válaszol, amely azt állítja, hogy „visszafejtő” segédprogram. Ez a segédprogram azonban valójában egy SPICA néven ismert hátsó ajtó, amely hozzáférést biztosít a támadók számára az áldozat gépéhez.
Mi is pontosan a SPICA Backdoor?
A SPICA backdoor malware egy Rust nyelven írt ügyféleszköz, amely websocket kommunikációt használ az érintett eszközök irányítására és vezérlésére. Felhatalmazza a támadókat, hogy különféle parancsokat hajtsanak végre a fertőzött eszközökön, például tetszőleges shell-parancsok futtatását, cookie-k ellopását olyan böngészőkből, mint a Chrome, Firefox, Opera és Edge, fájlok feltöltését és letöltését, hozzáférést a fájlrendszerhez és dokumentumok kiszűrését.
A Google felhasználja a TAG megállapításait termékei biztonságának fokozására. Az azonosított webhelyek, tartományok és fájlok biztonságos böngészési protokollokba vannak integrálva, hogy megakadályozzák a további kihasználást. A TAG ezenkívül értesíti a célzott Gmail és Workspace-felhasználókat a lehetséges támadásokról, és arra ösztönzi őket, hogy használjanak továbbfejlesztett biztonságos böngészést a fokozott védelem érdekében.