SPICA 後門與俄羅斯駭客組織有關

Google威脅分析小組 (TAG) 透露，俄羅斯駭客組織 COLDRIVER 正在從事針對知名非政府組織、前情報和軍事人員以及北約政府的憑證網路釣魚活動。

TAG 一直在積極監控和報告 COLDRIVER 符合俄羅斯政府利益的間諜活動。為了提高社群對 COLDRIVER 活動的認識，TAG 的 Wesley Shields 強調了他們的擴充功能，其中現在包括惡意軟體的部署。

COLDRIVER 針對烏克蘭、北約國家、學術機構和非政府組織進行活動。該組織經常偽裝成與目標相關的專家或個人，以獲取受害者的信任。

TAG 觀察到 COLDRIVER 從假冒帳戶發送看似無害的 PDF 文檔，將其呈現為專欄文章或尋求出版回饋的文章。開啟 PDF 後，會發現文字已加密。

如果目標表示難以閱讀該文檔，則模擬帳戶會使用聲稱是「解密」實用程式的連結進行回應。然而，這個實用程式實際上是一個稱為 SPICA 的後門，為攻擊者提供了受害者電腦的存取權限。

SPICA 後門到底是什麼？

SPICA 後門惡意軟體是一種用 Rust 編寫的客戶工具，利用 Websocket 通訊來命令和控制受影響的裝置。它使攻擊者能夠在受感染的裝置上執行各種命令，例如執行任意 shell 命令、從 Chrome、Firefox、Opera 和 Edge 等瀏覽器竊取 cookie、上傳和下載檔案、存取檔案系統以及竊取文件。

Google 利用 TAG 的調查結果來增強其產品的安全性。已識別的網站、網域和文件被整合到安全瀏覽協議中，以防止進一步的利用。 TAG 也會通知目標 Gmail 和 Workspace 使用者潛在的攻擊，並鼓勵他們利用增強的安全瀏覽來增強保護。