Puerta trasera SPICA

Se ha observado que el actor de amenazas COLDRIVER, vinculado a Rusia, expande sus operaciones más allá de la recolección de credenciales. Ha introducido su primer malware personalizado desarrollado en el lenguaje de programación Rust que está siendo rastreado como la puerta trasera SPICA. Las estrategias de ataque asociadas con COLDRIVER utilizan archivos PDF como documentos señuelo para iniciar la secuencia de infección, y los correos electrónicos engañosos provienen de cuentas suplantadas.

COLDRIVER, reconocido alternativamente como Blue Callisto, BlueCharlie (TAG-53), Calisto (Callisto), Dancing Salome, Gossamer Bear, Star Blizzard (anteriormente SEABORGIUM), TA446 y UNC4057, ha estado activo desde 2019. Sus objetivos abarcan diversos sectores, incluidos el mundo académico, la defensa, entidades gubernamentales, organizaciones no gubernamentales, grupos de expertos, entidades políticas y, más recientemente, instalaciones industriales y energéticas de defensa.

Tácticas de phishing utilizadas por COLDRIVER para distribuir malware

Las campañas de phishing lanzadas por el grupo están diseñadas para interactuar y generar confianza con las posibles víctimas con el objetivo final de compartir páginas de inicio de sesión falsas para recopilar sus credenciales y obtener acceso a las cuentas. Se ha observado que el grupo de delitos cibernéticos utiliza scripts del lado del servidor para evitar el escaneo automatizado de la infraestructura controlada por el actor y determinar objetivos de interés antes de redirigirlos a las páginas de destino de phishing.

El actor de amenazas ha estado utilizando documentos PDF benignos como punto de partida desde noviembre de 2022 para incitar a los objetivos a abrir los archivos. COLDRIVER presenta estos documentos como un nuevo artículo de opinión u otro tipo de artículo que la cuenta de suplantación busca publicar, solicitando comentarios del objetivo. Cuando el usuario abre el PDF benigno, el texto aparece cifrado.

En ese caso, el destinatario responde al mensaje indicando que no puede leer el documento y el actor de la amenaza responde con un enlace a una supuesta herramienta de descifrado ('Proton-decrypter.exe') alojada en un servicio de almacenamiento en la nube. La elección del nombre 'Proton-decrypter.exe' es notable porque el adversario utiliza predominantemente Proton Drive para enviar los señuelos PDF a través de mensajes de phishing.

La puerta trasera SPICA se coloca bajo la apariencia de un descifrador

En realidad, el descifrador funciona como una amenaza de puerta trasera conocida como SPICA, lo que permite a COLDRIVER acceder discretamente al sistema y al mismo tiempo presentar un documento señuelo para mantener el engaño. SPICA, el malware personalizado inaugural de COLDRIVER, utiliza JSON sobre WebSockets para comando y control (C2), lo que facilita diversas acciones, como ejecutar comandos de shell arbitrarios, robar cookies de navegadores web, cargar y descargar archivos, y enumerar y filtrar datos. La persistencia se establece a través de una tarea programada.

Tras la ejecución, SPICA decodifica un PDF incrustado, lo guarda en el disco y lo abre como señuelo para el usuario. Simultáneamente, establece persistencia e inicia el bucle C2 primario, esperando comandos para su ejecución en segundo plano.

La evidencia sugiere que el actor estado-nación comenzó a usar este implante ya en noviembre de 2022. El equipo de ciberseguridad ha identificado múltiples variantes del señuelo PDF 'cifrado', lo que indica la posible existencia de diferentes versiones de SPICA adaptadas a documentos de señuelo específicos enviados a los objetivos. .

Los investigadores sospechan que SPICA Backdoor se ha empleado en ataques muy específicos y limitados, centrándose en personas destacadas de ONG, ex funcionarios militares y de inteligencia, sectores de defensa y gobiernos de la OTAN.