SPICA 後門與俄羅斯駭客組織有關
Google威脅分析小組 (TAG) 透露,俄羅斯駭客組織 COLDRIVER 正在從事針對知名非政府組織、前情報和軍事人員以及北約政府的憑證網路釣魚活動。
TAG 一直在積極監控和報告 COLDRIVER 符合俄羅斯政府利益的間諜活動。為了提高社群對 COLDRIVER 活動的認識,TAG 的 Wesley Shields 強調了他們的擴充功能,其中現在包括惡意軟體的部署。
COLDRIVER 針對烏克蘭、北約國家、學術機構和非政府組織進行活動。該組織經常偽裝成與目標相關的專家或個人,以獲取受害者的信任。
TAG 觀察到 COLDRIVER 從假冒帳戶發送看似無害的 PDF 文檔,將其呈現為專欄文章或尋求出版回饋的文章。開啟 PDF 後,會發現文字已加密。
如果目標表示難以閱讀該文檔,則模擬帳戶會使用聲稱是「解密」實用程式的連結進行回應。然而,這個實用程式實際上是一個稱為 SPICA 的後門,為攻擊者提供了受害者電腦的存取權限。
SPICA 後門到底是什麼?
SPICA 後門惡意軟體是一種用 Rust 編寫的客戶工具,利用 Websocket 通訊來命令和控制受影響的裝置。它使攻擊者能夠在受感染的裝置上執行各種命令,例如執行任意 shell 命令、從 Chrome、Firefox、Opera 和 Edge 等瀏覽器竊取 cookie、上傳和下載檔案、存取檔案系統以及竊取文件。
Google 利用 TAG 的調查結果來增強其產品的安全性。已識別的網站、網域和文件被整合到安全瀏覽協議中,以防止進一步的利用。 TAG 也會通知目標 Gmail 和 Workspace 使用者潛在的攻擊,並鼓勵他們利用增強的安全瀏覽來增強保護。