Хакерская группировка COLDRIVER усовершенствовала свои методы и начала распространять своё первое собственное вредоносное ПО, написанное на языке программирования Rust.
Об этом сообщила группа анализа угроз Google TAG, которая поделилась подробностями о последней активности хакеров. По данным специалистов, атакующие используют PDF-файлы в качестве приманки, чтобы запустить процесс заражения. Ловушки отправляются с поддельных аккаунтов.
Атакующие использовали PDF-документы в качестве отправной точки с ноября 2022 года, чтобы заинтересовать цели открыть файлы. COLDRIVER представляет документы как новую статью, который отправитель хочет опубликовать, и просит получателя письма написать свой отзыв. Когда пользователь открывает PDF, он видит зашифрованный текст, пишет Securitylab.
Если получатель отвечает на сообщение, заявляя, что не может прочитать документ, хакер отвечает ссылкой на якобы инструмент для расшифровки ("Proton-decrypter.exe»), размещенный на облачном хранилище Proton Drive. На самом деле, расшифровщик — это бэкдор под названием SPICA, который предоставляет COLDRIVER скрытый доступ к устройству, одновременно отображая поддельный документ, чтобы скрыть взлом. При этом в фоновом режиме бэкдор подключается к C2-серверу.
SPICA, который является первым собственным вредоносным ПО, разработанным и использованным COLDRIVER, использует JSON поверх WebSockets для управления и контроля (Command and Control, C2), обеспечивая следующие возможности:
В рамках своих усилий по предотвращению кампании и дальнейшей эксплуатации команда Google TAG добавила все известные веб-сайты, домены и файлы, связанные с COLDRIVER, в черные списки Google Safe Browsing. В Google заявили, что не располагают информацией о количестве жертв SPICA, но подозревают, что бэкдор использовался только в «очень ограниченных целенаправленных атаках», добавив, что основное внимание уделялось высокопоставленным лицам в НПО, бывшим разведчикам и военным, а также представителям министерства обороны и правительств разных стран.