SPICA Bakdør knyttet til Russian Hacker Collective
The Threat Analysis Group (TAG) hos Google avslørte at den russiske hackergruppen COLDRIVER er engasjert i phishing-aktiviteter rettet mot fremtredende NGOer, tidligere etterretnings- og militærpersonell, samt NATO-regjeringer.
TAG har aktivt overvåket og rapportert om COLDRIVERs spionasjeinnsats i tråd med russiske myndigheters interesser. I et forsøk på å øke fellesskapets bevissthet om COLDRIVERs aktiviteter, fremhevet Wesley Shields fra TAG deres utvidede muligheter, som nå inkluderer distribusjon av skadelig programvare.
COLDRIVER gjennomfører kampanjer mot Ukraina, NATO-nasjoner, akademiske institusjoner og frivillige organisasjoner. Gruppen bruker ofte dekke av eksperter eller enkeltpersoner knyttet til målet for å få tilliten til ofrene sine.
TAG har observert at COLDRIVER sender tilsynelatende harmløse PDF-dokumenter fra etterligningskontoer, og presenterer dem som kommentarer eller artikler som søker tilbakemelding for publisering. Når du åpner PDF-ene, avsløres teksten for å være kryptert.
Hvis målet uttrykker problemer med å lese dokumentet, svarer etterligningskontoen med en lenke som hevder å være et "dekrypteringsverktøy". Imidlertid er dette verktøyet i virkeligheten en bakdør kjent som SPICA, som gir angriperne tilgang til offerets maskin.
Hva er egentlig SPICA-bakdøren?
SPICA bakdør malware er et kundeverktøy skrevet i Rust, som bruker nettsocket-kommunikasjon for å styre og kontrollere berørte enheter. Det gir angripere mulighet til å utføre ulike kommandoer på infiserte enheter, for eksempel å kjøre vilkårlige skallkommandoer, stjele informasjonskapsler fra nettlesere som Chrome, Firefox, Opera og Edge, laste opp og laste ned filer, få tilgang til filsystemet og eksfiltrere dokumenter.
Google bruker TAGs funn for å forbedre sikkerheten og sikkerheten til produktene sine. De identifiserte nettstedene, domenene og filene er integrert i protokoller for sikker nettlesing for å forhindre ytterligere utnyttelse. TAG varsler også målrettede Gmail- og Workspace-brukere om potensielle angrep og oppfordrer dem til å bruke forbedret sikker surfing for ekstra beskyttelse.