Бэкдор SPICA связан с коллективом российских хакеров

Группа анализа угроз (TAG) Google обнаружила, что российская хакерская группа COLDRIVER занимается фишингом учетных данных, нацеленным на известные НПО, бывших сотрудников разведки и военных, а также правительства стран НАТО.

TAG активно отслеживает и сообщает о шпионских усилиях COLDRIVER, соответствующих интересам российского правительства. Стремясь повысить осведомленность сообщества о деятельности COLDRIVER, Уэсли Шилдс из TAG подчеркнул их расширенные возможности, которые теперь включают в себя развертывание вредоносного ПО.

COLDRIVER проводит кампании против Украины, стран НАТО, академических институтов и НПО. Группа часто принимает вид экспертов или отдельных лиц, связанных с целью, чтобы завоевать доверие своих жертв.

TAG наблюдал, как COLDRIVER отправлял, казалось бы, безобидные PDF-документы с аккаунтов, выдающих себя за другое лицо, представляя их в виде статей или статей, требующих отзывов для публикации. При открытии PDF-файлов обнаруживается, что текст зашифрован.

Если цель выражает трудности с чтением документа, учетная запись, выдающая себя за другое лицо, отвечает ссылкой, утверждающей, что это утилита «расшифровки». Однако на самом деле эта утилита представляет собой бэкдор, известный как SPICA, предоставляющий злоумышленникам доступ к машине жертвы.

Что такое бэкдор SPICA?

Бэкдор-вредоносное ПО SPICA — это клиентский инструмент, написанный на Rust и использующий соединение через веб-сокет для управления и контроля затронутых устройств. Он позволяет злоумышленникам выполнять различные команды на зараженных устройствах, например запускать произвольные команды оболочки, красть файлы cookie из таких браузеров, как Chrome, Firefox, Opera и Edge, загружать и скачивать файлы, получать доступ к файловой системе и извлекать документы.

Google использует выводы TAG для повышения безопасности и защищенности своих продуктов. Идентифицированные веб-сайты, домены и файлы интегрируются в протоколы безопасного просмотра для предотвращения дальнейшей эксплуатации. TAG также уведомляет целевых пользователей Gmail и Workspace о потенциальных атаках и рекомендует им использовать расширенный безопасный просмотр для дополнительной защиты.