عامل تهدید مرتبط با روسیه که با نام COLDRIVER شناخته میشود، طبق مشاهدات فعلی در حال تکامل برنامههای تجاری خود میباشد تا فراتر از جمع آوری گواهی اعتبار پیش رفته و برای اولین بار از بدافزار سفارشی خود که به زبان Rust نوشته شده است، استفاده نماید.
گروه تحلیل تهدیدات گوگل (Google TAG) با انتشار جزئیات آخرین فعالیت، اعلام کرد که زنجیره حمله از فایلهای PDF به عنوان اسناد طعمه برای ایجاد توالی نفوذ استفاده میکند و از حسابهای جعلی ارسال میشوند.
COLDRIVER، که با نامهای Blue Callisto، BlueCharlie (یا TAG-53)، Calisto (به طور متناوب Callisto)، Dancing Salome، Gossamer Bear، Star Blizzard (SEABORGIUM سابق)، TA446 و UNC4057 نیز شناخته میشود، از سال ۲۰۱۹ فعال بوده و تاکنون طیف گستردهای از بخشها را مورد هدف قرار داده است. این اهداف شامل دانشگاه، صنایع دفاعی، سازمانهای دولتی و غیردولتی، پژوهشکدهها، تجهیزات سیاسی و اخیراً اهداف دفاعی-صنعتی و تأسیسات انرژی میباشند.
دولت ایالات متحده آمریکا ماه گذشته (دسامبر ۲۰۲۳) اذعان داشت که سازمانها در بریتانیا و ایالات متحده آمریکا بیش از سایر مناطق تحت تأثیر فعالیت Star Blizzard (استار بلیزارد) قرار گرفتهاند. با این حال، فعالیتهای این تهدید علیه اهداف در سایر کشورهای ناتو و کشورهای همسایه روسیه نیز مشاهده شده است.
کمپینهای فیشینگ هدفمند که توسط این گروه راه اندازی شدهاند برای تعامل و ایجاد اعتماد با قربانیان احتمالی با هدف نهایی به اشتراکگذاری صفحات لاگین به سیستم جعلی به منظور جمع آوری گواهیهای اعتبار و دسترسی به حسابها طراحی شدهاند.
مایکروسافت در تحلیل تاکتیکهای COLDRIVER، استفاده از اسکریپتهای سمت سرور را جهت جلوگیری از اسکن خودکار زیرساختهای کنترل شده توسط عامل تهدید و تعیین اهداف مورد علاقه، پیش از هدایت آنها به صفحات ابتدایی فیشینگ، عنوان کرد. آخرین یافتههای Google TAG حاکی از آن است که عامل تهدید از نوامبر ۲۰۲۲ از اسناد PDF آلوده به عنوان نقطه آغاز عملیات و زنجیره نفوذ استفاده کرده است تا اهداف را برای باز کردن فایلها ترغیب کند.
COLDRIVER، این اسناد را به عنوان یک مقاله جدید یا نوع دیگری از مقاله ارائه میهد که حساب جعل هویت شده به دنبال انتشار آن است و از قربانی مورد نظر درخواست بازخورد میکند. کاربر هنگامی که، PDF آلوده را باز میکند، متن، رمزگذاری شده به نظر میرسد. در صورتی که گیرنده به پیامی که بیان میکند نمیتواند سند را بخواند پاسخ دهد، عامل تهدید با یک پیوند به ابزار رمزگشایی “Proton-decrypter.exe” که در یک سرویس ذخیره ساز ابری میزبانی شده است، پاسخ میدهد.
انتخاب نام Proton-decrypter.exe، قابل توجه است زیرا مایکروسافت پیشتر افشا کرده بود که مهاجم عمدتاً از Proton Drive برای ارسال طعمههای PDF از طریق پیامهای فیشینگ استفاده میکند. سند PDF مورد استفاده در این حمله در Proton Drive میزبانی شده است و مهاجمان اذعان دارند این ابزار به منظور رمزگشایی فایل میزبانی شده در پلتفرم ابری مورد استفاده قرار میگیرد. رمزگشا در واقع یک بکدور به نام SPICA است که به COLDRIVER امکان دسترسی مخفیانه به دستگاه میدهد، در حالی که به طور همزمان یک سند طعمه را برای حفظ عملیات فریبنده خود نمایش خواهد داد.
یافتههای قبلی WithSecure (سابق F-Secure) استفاده عامل تهدید از یک بکدور کم حجم به نام Scout، یک بدافزار از پلتفرم هک Galileo سیستم کنترل از راه دور (RCS) HackingTeam را به عنوان بخشی از کمپینهای فیشینگ که در اوایل سال ۲۰۱۶ مشاهده شده بود، افشا کرد. این شرکت امنیت سایبری فنلاندی در آن زمان خاطرنشان کرد که Scout به زودی به عنوان یک ابزار شناسایی اولیه برای جمع آوری اطلاعات سیستم و اسکرین شات از یک رایانه آسیب دیده و همچنین نصب بدافزار اضافی استفاده خواهد شد.
SPICA که اولین بدافزار سفارشی توسعه یافته و مورد استفاده COLDRIVER است، از JSON بر روی WebSockets برای فرمان و کنترل (C2)، تسهیل اجرای دستورات shell دلخواه، ربودن کوکیها از مرورگرهای وب، آپلود و دانلود فایلها و شمارش آنها استفاده میکند و فایلهای ربوده شده با استفاده از یک تسک زمان بندی شده به دست میآیند.
SPICAپس از اجرا، یک PDF تعبیه شده را رمزگشایی میکند، آن را روی دیسک مینویسد و به عنوان یک طعمه برای کاربر باز میکند، در پس زمینه تداوم دسترسی را ایجاد و حلقه اصلی C2 را آغاز نموده و منتظر اجرای دستورات خواهد ماند.
شواهدی وجود دارد که بیانگر آن است که استفاده عامل تهدید تحت حمایت دولت از ایمپلنت به نوامبر ۲۰۲۲ بازمیگردد و از سوی دیگر با استفاده از چندین گونه PDF طعمه رمزگذاری شده که نشان میدهد ممکن است نسخههای مختلفی از SPICA برای مطابقت با سند طعمه ارسال شده به اهداف وجود داشته باشد.
Google TAG به عنوان بخشی از تلاشهای خود جهت ایجاد اختلال در کمپین و جلوگیری از بهره برداری بیشتر، اعلام کرد که تمام وب سایتها، دامنهها و فایلهای شناخته شده مرتبط با گروه هک را به فهرستهای مسدود کننده مرور ایمن اضافه کرده است.
تعداد قربانیانی که توسط SPICA با موفقیت مورد نفوذ قرار گرفتهاند هنوز مشخص نیست، اما احتمال میرود که از آن فقط در “حملات بسیار محدود و هدفمند” استفاده شده است و تمرکز آن بر روی «افراد برجسته در سازمانهای غیردولتی و مقامات اطلاعاتی و نظامی، دفاعی و دولتهای عضو ناتو» بوده است.
این توسعه بیش از یک ماه پس از آن صورت میپذیرد که دولتهای بریتانیا و ایالات متحده آمریکا، دو عضو روسی COLDRIVER یعنی روسلان الکساندروویچ پرتیاتکو و Andrey Stanislavovich Korinets آندری استانیسلاوویچ کورینتس را به دلیل مشارکت در انجام عملیات فیشینگ هدفمند، تحریم کردند.
شرکت امنیت سایبری فرانسوی Sekoia از آن زمان پیوندهای بین Korinets و زیرساختهای شناخته شده مورد استفاده توسط این گروه را منتشر کرده است که شامل دهها دامنه فیشینگ و چندین سرور میباشد. Calisto به تلاشهای اطلاعاتی روسیه برای حمایت از منافع استراتژیک مسکو کمک میکند. به نظر میرسد که ثبت دامنه یکی از مهارتهای اصلی [Korinets] بوده که به طور قابل قبولی توسط اطلاعات روسیه، چه به طور مستقیم و چه از طریق یک رابطه پیمانکاری مورد استفاده قرار میگیرد.
IoCها
هشهای مشاهده شده توسط فایلهای PDF رمزگذاری شده:
SHA256
0f6b9d2ada67cebc8c0f03786c442c61c05cef5b92641ec4c1bdd8f5baeb2ee1
(first observed November 2022)
A949ec428116489f5e77cefc67fea475017e0f50d2289e17c3eb053072adcf24
(first observed June 2023)
C97acea1a6ef59d58a498f1e1f0e0648d6979c4325de3ee726038df1fc2e831d
(first observed August 2023)
Ac270310b5410e7430fe7e36a079525cd8724b002b38e13a6ee6e09b326f4847
(first observed November 2023)
نمونه SPICA
84523ddad722e205e2d52eedfb682026928b63f919a7bf1ce6f1ad4180d0f507
ZIP file, hosted on cloud storage. Delivered to target after initial lure PDF.
37c52481711631a5c73a6341bd8bea302ad57f02199db7624b580058547fb5a9
SPICA backdoor. Named “Proton-decrypter.exe”.
C97acea1a6ef59d58a498f1e1f0e0648d6979c4325de3ee726038df1fc2e831d
Lure document, likely to provide legitimacy to zip file.
C2
https[://]45.133.216[.]15:3000/ws
