Группа COLDRIVER протестировала свой собственный вредонос на основе Rust.
Хакерская группировка COLDRIVER усовершенствовала свои методы и начала распространять своё первое собственное вредоносное ПО, написанное на языке программирования Rust.
Об этом сообщила группа анализа угроз Google TAG, которая поделилась подробностями о последней активности хакеров. По данным специалистов, атакующие используют PDF-файлы в качестве приманки, чтобы запустить процесс заражения. Ловушки отправляются с поддельных аккаунтов.
Атакующие использовали PDF-документы в качестве отправной точки с ноября 2022 года, чтобы заинтересовать цели открыть файлы. COLDRIVER представляет документы как новую статью, который отправитель хочет опубликовать, и просит получателя письма написать свой отзыв. Когда пользователь открывает PDF, он видит зашифрованный текст.
PDF-документ с зашифрованным текстом
Если получатель отвечает на сообщение, заявляя, что не может прочитать документ, хакер отвечает ссылкой на якобы инструмент для расшифровки ("Proton-decrypter.exe»), размещенный на облачном хранилище Proton Drive. На самом деле, расшифровщик — это бэкдор под названием SPICA, который предоставляет COLDRIVER скрытый доступ к устройству, одновременно отображая поддельный документ, чтобы скрыть взлом. При этом в фоновом режиме бэкдор подключается к C2-серверу.
SPICA, который является первым собственным вредоносным ПО, разработанным и использованным COLDRIVER, использует JSON поверх WebSockets для управления и контроля (Command and Control, C2), обеспечивая следующие возможности:
В рамках своих усилий по предотвращению кампании и дальнейшей эксплуатации команда Google TAG добавила все известные веб-сайты, домены и файлы, связанные с COLDRIVER, в черные списки Google Safe Browsing. В Google заявили, что не располагают информацией о количестве жертв SPICA, но подозревают, что бэкдор использовался только в «очень ограниченных целенаправленных атаках», добавив, что основное внимание уделялось высокопоставленным лицам в НПО, бывшим разведчикам и военным, а также представителям министерства обороны и правительств разных стран.
Живой, мертвый или в суперпозиции? Узнайте в нашем канале