SPICA Bakdörr länkad till Russian Hacker Collective
The Threat Analysis Group (TAG) på Google avslöjade att den ryska hackergruppen COLDRIVER är engagerad i nätfiskeaktiviteter som riktar sig till framstående icke-statliga organisationer, före detta underrättelsetjänst och militär personal, såväl som NATO-regeringar.
TAG har aktivt övervakat och rapporterat om COLDRIVERs spionageinsatser i linje med ryska myndigheters intressen. I ett försök att öka communityns medvetenhet om COLDRIVERs aktiviteter, lyfte Wesley Shields från TAG fram deras utökade möjligheter, som nu inkluderar distribution av skadlig programvara.
COLDRIVER genomför kampanjer mot Ukraina, Nato-nationer, akademiska institutioner och icke-statliga organisationer. Gruppen antar ofta skepnad av experter eller individer associerade med målet för att vinna offrens förtroende.
TAG har observerat att COLDRIVER skickar till synes ofarliga PDF-dokument från personifieringskonton och presenterar dem som kommentarer eller artiklar som söker feedback för publicering. När PDF-filerna öppnas avslöjas att texten är krypterad.
Om målet uttrycker svårigheter att läsa dokumentet, svarar personifieringskontot med en länk som påstår sig vara ett "dekrypterings"-verktyg. Men det här verktyget är i verkligheten en bakdörr känd som SPICA, som ger angriparna tillgång till offrets maskin.
Vad är SPICA-bakdörren egentligen?
SPICA bakdörr skadlig kod är ett kundverktyg skrivet i Rust, som använder webbsocket-kommunikation för att styra och kontrollera berörda enheter. Det ger angripare möjlighet att utföra olika kommandon på infekterade enheter, som att köra godtyckliga skalkommandon, stjäla cookies från webbläsare som Chrome, Firefox, Opera och Edge, ladda upp och ladda ner filer, komma åt filsystemet och exfiltrera dokument.
Google använder TAGs resultat för att förbättra säkerheten och säkerheten för sina produkter. De identifierade webbplatserna, domänerna och filerna är integrerade i protokoll för säker surfning för att förhindra ytterligare exploatering. TAG meddelar även riktade Gmail- och Workspace-användare om potentiella attacker och uppmuntrar dem att använda förbättrad säker surfning för extra skydd.