Porte dérobée SPICA

L’acteur menaçant COLDRIVER, lié à la Russie, a été observé en train d’étendre ses opérations au-delà de la récolte de titres de compétences. Il a introduit son premier malware personnalisé développé dans le langage de programmation Rust, qui est suivi comme porte dérobée SPICA. Les stratégies d'attaque associées à COLDRIVER utilisent des fichiers PDF comme documents leurres pour lancer la séquence d'infection, les e-mails trompeurs provenant de comptes d'usurpation d'identité.

COLDRIVER, alternativement reconnu sous les noms de Blue Callisto, BlueCharlie (TAG-53), Calisto (Callisto), Dancing Salome, Gossamer Bear, Star Blizzard (anciennement SEABORGIUM), TA446 et UNC4057, est actif depuis 2019. Ses cibles couvrent divers secteurs, y compris le monde universitaire, la défense, les entités gouvernementales, les organisations non gouvernementales, les groupes de réflexion, les entités politiques et, plus récemment, les installations industrielles de défense et énergétiques.

Tactiques de spear-phishing utilisées par COLDRIVER pour diffuser des logiciels malveillants

Les campagnes de spear phishing organisées par le groupe sont conçues pour engager et renforcer la confiance avec les victimes potentielles dans le but ultime de partager de fausses pages de connexion afin de récolter leurs informations d'identification et d'accéder aux comptes. Le groupe de cybercriminalité a été observé en train d'utiliser des scripts côté serveur pour empêcher l'analyse automatisée de l'infrastructure contrôlée par les acteurs et déterminer les cibles d'intérêt avant de les rediriger vers les pages de destination de phishing.

L’acteur malveillant utilise des documents PDF inoffensifs comme point de départ dès novembre 2022 pour inciter les cibles à ouvrir les fichiers. COLDRIVER présente ces documents sous la forme d'un nouvel éditorial ou d'un autre type d'article que le compte d'usurpation d'identité cherche à publier, sollicitant les commentaires de la cible. Lorsque l'utilisateur ouvre le PDF inoffensif, le texte apparaît crypté.

Dans ce cas, le destinataire répond au message indiquant qu'il ne peut pas lire le document et l'acteur malveillant répond avec un lien vers un prétendu outil de décryptage (« Proton-decrypter.exe ») hébergé sur un service de stockage cloud. Le choix du nom « Proton-decrypter.exe » est remarquable car l'adversaire utilise principalement Proton Drive pour envoyer les leurres PDF via les messages de phishing.

La porte dérobée SPICA est abandonnée sous le couvert d'un décrypteur

En réalité, le décrypteur fonctionne comme une menace de porte dérobée connue sous le nom de SPICA, permettant à COLDRIVER d'accéder discrètement au système tout en présentant simultanément un document leurre pour maintenir la tromperie. SPICA, le premier malware personnalisé de COLDRIVER, utilise JSON sur WebSockets pour le commandement et le contrôle (C2), facilitant diverses actions telles que l'exécution de commandes shell arbitraires, le vol de cookies des navigateurs Web, le téléchargement et le téléchargement de fichiers, ainsi que l'énumération et l'exfiltration de données. La persistance est établie via une tâche planifiée.

Lors de l'exécution, SPICA décode un PDF intégré, l'enregistre sur le disque et l'ouvre comme leurre pour l'utilisateur. Simultanément, il établit la persistance et lance la boucle C2 principale, en attendant les commandes à exécuter en arrière-plan.

Les preuves suggèrent que l'acteur étatique a commencé à utiliser cet implant dès novembre 2022. L'équipe de cybersécurité a identifié plusieurs variantes du leurre PDF « crypté », indiquant l'existence possible de différentes versions de SPICA adaptées à des documents de leurre spécifiques envoyés aux cibles. .

Les chercheurs soupçonnent que la porte dérobée SPICA a été utilisée dans le cadre d'attaques très ciblées et limitées, en mettant l'accent sur des personnalités éminentes au sein d'ONG, d'anciens responsables du renseignement et de l'armée, des secteurs de la défense et des gouvernements de l'OTAN.