SPICA 后门与俄罗斯黑客组织有关

谷歌威胁分析小组 (TAG) 透露，俄罗斯黑客组织 COLDRIVER 正在从事针对知名非政府组织、前情报和军事人员以及北约政府的凭证网络钓鱼活动。

TAG 一直在积极监控和报告 COLDRIVER 符合俄罗斯政府利益的间谍活动。为了提高社区对 COLDRIVER 活动的认识，TAG 的 Wesley Shields 强调了他们的扩展功能，其中现在包括恶意软件的部署。

COLDRIVER 针对乌克兰、北约国家、学术机构和非政府组织开展活动。该组织经常伪装成与目标相关的专家或个人，以获取受害者的信任。

TAG 观察到 COLDRIVER 从假冒帐户发送看似无害的 PDF 文档，将其呈现为专栏文章或寻求出版反馈的文章。打开 PDF 后，会发现文本已加密。

如果目标表示难以阅读该文档，则模拟帐户会使用一个声称是“解密”实用程序的链接进行响应。然而，这个实用程序实际上是一个称为 SPICA 的后门，为攻击者提供了对受害者计算机的访问权限。

SPICA 后门到底是什么？

SPICA 后门恶意软件是一种用 Rust 编写的客户工具，利用 Websocket 通信来命令和控制受影响的设备。它使攻击者能够在受感染的设备上执行各种命令，例如运行任意 shell 命令、从 Chrome、Firefox、Opera 和 Edge 等浏览器窃取 cookie、上传和下载文件、访问文件系统以及窃取文档。

Google 利用 TAG 的调查结果来增强其产品的安全性。已识别的网站、域和文件被集成到安全浏览协议中，以防止进一步的利用。 TAG 还会通知目标 Gmail 和 Workspace 用户潜在的攻击，并鼓励他们利用增强的安全浏览来增强保护。