概述
多年来,TAG分析了一系列持续性威胁,包括COLDRIVER(也称为UNC4057,Star Blizzard和Callisto),这是一个俄罗斯威胁组织,专注于针对非政府组织,前情报和军官以及北约政府的知名人士的凭据网络钓鱼活动。多年来,TAG一直在反击和报道该组织进行符合俄罗斯政府利益的间谍活动。为了增加社区对 COLDRIVER 活动的理解,我们将重点介绍它们的扩展功能,现在包括使用恶意软件。
COLDRIVER 继续专注于针对乌克兰、北约国家、学术机构和非政府组织的凭据网络钓鱼。为了获得目标的信任,COLDRIVER经常使用冒充帐户,假装是特定领域的专家或以某种方式与目标有联系。然后,使用模拟帐户与目标建立融洽的关系,增加网络钓鱼活动成功的可能性,并最终发送网络钓鱼链接或包含链接的文档。最近发布的关于COLDRIVER的信息强调了该组织不断发展的策略、技术和程序(TTP),以提高其检测规避能力。
最近,TAG 观察到 COLDRIVER 继续这种演变,超越了网络钓鱼以获取凭据,而是通过使用 PDF 作为诱饵文档的活动来传递恶意软件。TAG 已将所有已知网域和哈希值添加到安全浏览黑名单中,从而中断了以下活动。
基于诱饵的“加密”恶意软件交付
早在 2022 年 11 月,TAG 就观察到 COLDRIVER 从冒充帐户向目标发送良性 PDF 文档。COLDRIVER 将这些文档呈现为冒充帐户希望发布的新专栏文章或其他类型的文章,以征求目标的反馈。当用户打开良性 PDF 时,文本显示为加密。
诱饵文档中“加密”文本的屏幕截图
如果目标响应他们无法读取加密文档,则 COLDRIVER 模拟帐户会使用指向目标使用的“解密”实用程序的链接(通常托管在云存储站点上)进行响应。这个解密实用程序虽然还显示了诱饵文档,但实际上是一个后门,被跟踪为 SPICA,使 COLDRIVER 能够访问受害者的机器。
在 2015 年和 2016 年,TAG 观察到 COLDRIVER 使用了在 2015 年 7 月的黑客团队事件中泄露的 Scout 植入物。SPICA 代表了我们归因于 COLDRIVER 开发和使用的第一个自定义恶意软件。
SPICA后门
SPICA 是用 Rust 编写的,并使用 JSON over websockets 进行命令和控制 (C2)。它支持许多命令,包括:
- 执行任意 shell 命令
- 从 Chrome、Firefox、Opera 和 Edge 中窃取 Cookie
- 上传和下载文件
- 通过列出文件系统的内容来仔细阅读文件系统
- 枚举文档并将其泄露到存档中
- 还有一个名为“telegram”的命令,但该命令的功能尚不清楚
执行后,SPICA 会解码嵌入的 PDF,将其写入磁盘,然后将其作为用户的诱饵打开。在后台,它建立持久性并启动主 C2 循环,等待命令执行。
后门通过模糊处理的 PowerShell 命令建立持久性,该命令创建名为 CalendarChecker 的计划任务:
模糊处理的 PowerShell 命令
TAG早在2023年9月就观察到SPICA被使用,但认为COLDRIVER对后门的使用至少可以追溯到2022年11月。虽然TAG已经观察到最初的“加密”PDF诱饵的四种不同变体,但我们只能成功检索到SPICA的单个实例。此示例名为“Proton-decrypter.exe”,使用 C2 地址 45.133.216[.]15:3000,可能在 2023 年 8 月和 9 月左右活跃。
我们认为SPICA后门可能有多个版本,每个版本都有不同的嵌入式诱饵文件,以匹配发送给目标的诱饵文件。
IOC
SHA256
0f6b9d2ada67cebc8c0f03786c442c61c05cef5b92641ec4c1bdd8f5baeb2ee1
A949ec428116489f5e77cefc67fea475017e0f50d2289e17c3eb053072adcf24
C97acea1a6ef59d58a498f1e1f0e0648d6979c4325de3ee726038df1fc2e831d
AC270310b5410e7430fe7e36a079525cd8724b002b38e13a6ee6e09b326f4847
84523ddad722e205e2d52eedfb682026928b63f919a7bf1ce6f1ad4180d0f507
37c52481711631a5c73a6341bd8bea302ad57f02199db7624b580058547fb5a9
C97acea1a6ef59d58a498f1e1f0e0648d6979c4325de3ee726038df1fc2e831d
C2
https[://]45.133.216[.]15:3000/ws
参考链接:https://blog.google/threat-analysis-group/google-tag-coldriver-russian-phishing-malware/
图片来源网络目标可联系删除