Backdoor SPICA collegata al collettivo di hacker russi
Il Threat Analysis Group (TAG) di Google ha rivelato che il gruppo di hacker russo COLDRIVER è impegnato in attività di phishing di credenziali nei confronti di importanti ONG, ex personale dei servizi segreti e militari, nonché dei governi della NATO.
TAG ha monitorato e riferito attivamente sugli sforzi di spionaggio di COLDRIVER in linea con gli interessi del governo russo. Nel tentativo di aumentare la consapevolezza della comunità sulle attività di COLDRIVER, Wesley Shields di TAG ha evidenziato le loro capacità estese, che ora includono l'implementazione di malware.
COLDRIVER conduce campagne contro l'Ucraina, le nazioni della NATO, le istituzioni accademiche e le ONG. Il gruppo spesso adotta le sembianze di esperti o individui associati all'obiettivo per guadagnare la fiducia delle loro vittime.
TAG ha osservato che COLDRIVER inviava documenti PDF apparentemente innocui da account di furto d'identità, presentandoli come editoriali o articoli in cerca di feedback per la pubblicazione. All'apertura dei PDF, il testo risulta essere crittografato.
Se la vittima esprime difficoltà nella lettura del documento, l'account di rappresentazione risponde con un collegamento che afferma di essere un'utilità di "decrittazione". Tuttavia, questa utility è in realtà una backdoor nota come SPICA, che fornisce agli aggressori l'accesso al computer della vittima.
Cos’è esattamente la backdoor SPICA?
Il malware backdoor SPICA è uno strumento del cliente scritto in Rust, che utilizza la comunicazione websocket per comandare e controllare i dispositivi interessati. Consente agli aggressori di eseguire vari comandi sui dispositivi infetti, come eseguire comandi shell arbitrari, rubare cookie da browser come Chrome, Firefox, Opera ed Edge, caricare e scaricare file, accedere al file system ed esfiltrare documenti.
Google utilizza i risultati di TAG per migliorare la sicurezza e la protezione dei suoi prodotti. I siti Web, i domini e i file identificati sono integrati in protocolli di navigazione sicuri per prevenire ulteriori sfruttamenti. TAG avvisa inoltre gli utenti Gmail e Workspace presi di mira di potenziali attacchi e li incoraggia a utilizzare una navigazione sicura avanzata per una maggiore protezione.