谷歌标签警告称，俄罗斯的COLDRIVER APT正在使用定制后门

ColdRiver APT（又名“希波克拉底”，“木卫四”，“星暴”，“TA446”）是一个俄罗斯网络间谍组织，自2015年以来一直针对政府官员、军事人员、记者和智囊团。
过去，该团伙的活动涉及持续的网络钓鱼和凭证窃取活动，导致入侵和数据被盗。APT 主要针对北约国家，但专家还观察到针对波罗的海、北欧和东欧地区（包括乌克兰）的活动。

谷歌技术分析小组（TAG）的研究人员警告说，COLDRIVER正在发展战术、技术和程序（TTP），以提高其检测规避能力。

最近，TAG观察到COLDRIVER通过钓鱼活动使用PDF作为诱饵文件发送定制恶意软件。谷歌专家通过将所有已知域名和散列添加到安全浏览阻止列表中，发现了并阻止了这些攻击。

2022 年 11 月，TAG 发现 COLDRIVER 通过模拟账户发送了PDF格式的良性目标文件。这些诱饵文件是模拟账户正在寻求发布的新专栏或其他类型的文章，威胁行为者要求收件人提供反馈。当受害者打开PDF时，会显示加密文本。

如果目标由于无法读取内容而与威胁行为者联系，网络间谍会向其发送一个托管解密工具的链接。下载并执行该工具后，会显示一个诱饵文档，同时安装一个被追踪为SPICA的后门。

TAG的分析指出：“一旦执行，SPICA就会解码嵌入的PDF，将其写入磁盘，并将其作为诱饵供用户打开。在后台，它会建立持久性并启动主C2循环，等待执行命令。”

Spica是一个Rust后门，它使用JSON通过websockets进行C2。Spica支持多种功能，例如：
执行任意 shell 命令
从Chrome、Firefox、Opera和Edge中窃取cookie
上传和下载文件
通过列出文件系统内容来仔细研究文件系统
枚举文档并将其导出到存档中
还有一个名为“telegram”的命令，但该命令的功能尚不清楚
该恶意软件通过一个混淆的PowerShell命令来保持持久性，该命令创建了一个名为CalendarChecker的计划任务。

研究人员自2023年9月初开始观察SPICA的使用情况，但认为俄罗斯APT至少从2022年11月就开始使用它。

报告总结道：“虽然TAG观察到初始“加密”PDF诱饵有四种不同的变体，但我们只能成功检索到SPICA的一个实例。这个名为“Proton-decrypter.exe”的样本使用了C2地址45.133.216[.]15:3000，并且可能在2023年8月和9月左右处于活动状态。”

我们认为，SPICA后门程序可能有多个版本，每个版本都有不同的嵌入式诱饵文件，以匹配发送给目标的诱饵文件。

12 月，英国国家网络安全中心 (NCSC) 和微软报告称，与俄罗斯有关的 APT 组织 Callisto Group 正在瞄准全球范围内的组织。该民族国家行为者正在开展鱼叉式网络钓鱼攻击，以进行网络间谍活动。

原文始发于微信公众号（黑猫安全）：谷歌标签警告称，俄罗斯的COLDRIVER APT正在使用定制后门