.
Os ciberespiões russos ligados ao Serviço Federal de Segurança (FSB) do Kremlin estão indo além de suas habituais palhaçadas de phishing de credenciais e desenvolveram um backdoor personalizado que começaram a entregar por e-mail já em novembro de 2022, de acordo com o Grupo de Análise de Ameaças do Google.
TAG rastreia esta tripulação como COLDRIVER, enquanto outros caçadores de ameaças chamam a gangue apoiada pelo governo Star Blizzard, UNC4057 e Callisto. A gangue está ativa pelo menos desde 2019 e, historicamente, tem como alvo a academia, os militares, organizações governamentais, ONGs, grupos de reflexão e políticos nos EUA, no Reino Unido e em outros países da OTAN.
Desde que a Rússia invadiu o seu vizinho em Fevereiro de 2022, o COLDRIVER também intensificou as suas actividades de espionagem contra alvos militares e de defesa da Ucrânia, bem como de outras nações da Europa de Leste.
Acontece que eles estão migrando para um malware com um backdoor chamado SPICA. Foi escrito em Rust e usa JSON em websockets para comando e controle (C2), fomos informados.
Uma vez executado no dispositivo da vítima, ele possui vários recursos, incluindo execução de comandos shell, roubo de cookies do Chrome, Firefox, Opera e Edge; upload e download de arquivos; e bisbilhotar e roubar documentos.
“A TAG observou o uso do SPICA já em setembro de 2023, mas acredita que o uso do backdoor pelo COLDRIVER remonta a pelo menos novembro de 2022”, disse a equipe de caça a ameaças da Fábrica de Chocolate em uma análise publicada hoje.
SPICA é o primeiro malware personalizado que o TAG atribui ao grupo apoiado pelo Kremlin.
Além de publicar detalhes sobre o backdoor e como funciona a campanha, a Chocolate Factory também publicou uma extensa lista de indicadores de comprometimento, incluindo hashes, o nome da amostra SPICA e o endereço C2.
Essas expedições tendem a ser altamente direcionadas, concentrando-se em “indivíduos de alto perfil em ONGs, ex-oficiais de inteligência e militares, defesa e governos da OTAN”, disse Billy Leonard do Google TAG. Strong The One.
“A TAG só observou o uso do SPICA em um número muito pequeno de campanhas, visando um pequeno número de organizações e indivíduos”, disse Leonard.
Para entregar o malware, o COLRIVER depende de táticas mais antigas e testadas.
Os criminosos pesquisam seus alvos nas redes sociais, criando perfis falsos e enviando mensagens para seus alvos para construir relacionamento.
Eles também usam contas de e-mail baseadas na web que se fazem passar por alguém que o alvo conhece ou por uma figura bem conhecida do setor, e perseguem contas de e-mail pessoais de indivíduos importantes, que geralmente são menos protegidas do que as caixas de entrada oficiais do governo dos mesmos indivíduos.
No mês passado, as agências governamentais dos Cinco Olhos e a Microsoft emitiram relatórios separados sobre as técnicas de evasão e táticas de phishing cada vez mais sofisticadas do COLDRIVER.
“Já em novembro de 2022, a TAG observou o COLDRIVER enviando aos alvos documentos PDF benignos de contas falsas”, disse a Fábrica de Chocolate no relato de hoje sobre a evolução dos esforços de espionagem da gangue.
A equipe se faz passar por endereços de e-mail para fazer as vítimas acreditarem que esses documentos são artigos de opinião ou algum outro artigo para publicação. A vítima, segundo nos disseram, não consegue abrir o PDF benigno, que parece estar criptografado.
Não é, mas isso geralmente gera um e-mail de resposta da vítima informando que ela não consegue abrir o documento. Em seguida, a conta de e-mail falsa responde com um link para um utilitário de “descriptografia” que na verdade é o backdoor do SPICA.
Embora os caçadores de ameaças só tenham conseguido capturar uma instância do malware para analisar, eles acreditam que existem várias versões do SPICA, cada uma usando um PDF chamariz diferente. ®
.
