SPICAバックドアはロシアのハッカー集団とリンク
Google の脅威分析グループ (TAG) は、ロシアのハッカー グループ COLDRIVER が、著名な NGO、元諜報機関および軍関係者、および NATO 政府を標的とした認証情報フィッシング活動に従事していることを明らかにしました。
TAG は、ロシア政府の利益に沿った COLDRIVER のスパイ活動を積極的に監視し、報告してきました。 COLDRIVER の活動に対するコミュニティの認識を高める取り組みとして、TAG の Wesley Shields 氏は、マルウェアの展開を含むその拡張機能を強調しました。
COLDRIVER は、ウクライナ、NATO 諸国、学術機関、NGO に対するキャンペーンを実施しています。このグループは、被害者の信頼を得るために、ターゲットに関係する専門家や個人を装うことがよくあります。
TAG は、COLDRIVER がなりすましアカウントから一見無害な PDF ドキュメントを送信し、それらを論説や記事として提示して出版のためのフィードバックを求めていることを観察しました。 PDF を開くと、テキストが暗号化されていることがわかります。
ターゲットが文書を読むのが難しいと表明した場合、なりすましアカウントは「復号」ユーティリティであると主張するリンクで応答します。ただし、このユーティリティは実際には SPICA として知られるバックドアであり、攻撃者に被害者のマシンへのアクセスを提供します。
SPICAバックドアとは一体何なのでしょうか?
SPICA バックドア マルウェアは、Rust で書かれた顧客ツールであり、WebSocket 通信を利用して影響を受けるデバイスのコマンドと制御を行います。これにより、攻撃者は、感染したデバイス上で任意のシェル コマンドの実行、Chrome、Firefox、Opera、Edge などのブラウザからの Cookie の盗用、ファイルのアップロードとダウンロード、ファイル システムへのアクセス、ドキュメントの抽出などのさまざまなコマンドを実行できるようになります。
Google は TAG の調査結果を活用して、自社製品の安全性とセキュリティを強化しています。特定された Web サイト、ドメイン、およびファイルは、さらなる悪用を防ぐために安全なブラウジング プロトコルに統合されます。 TAG はまた、標的となった Gmail および Workspace ユーザーに潜在的な攻撃を通知し、保護を強化するために強化されたセーフ ブラウジングを利用することを奨励します。