Según un informe del Grupo de Análisis de Amenazas (TAG) de Google, Coldriver, patrocinado por el estado ruso, está mejorando sus técnicas ofensivas. El grupo es conocido por sus ataques de phishing contra entidades gubernamentales u ONG con fines de ciberespionaje. También conocido como UNC4057, Star Blizzard, Blue Charlie y Callisto, este APT agrega a su arsenal un malware llamado Spica para robar información, ejecutar comandos arbitrarios y establecer persistencia.

El Threat Analysis Group "descubrió recientemente que Coldriver ha evolucionado sus tácticas de phishing para recolectar credenciales y entregar malware en sus campañas, utilizando documentos PDF como cebo". Estas observaciones se hicieron tras “la interrupción de una campaña en curso”.

Índice
  1. Un señuelo PDF para difundir malware
  2. Spica, un malware multifacético

Un señuelo PDF para difundir malware

En su última campaña, TAG pudo ver que Coldriver utilizaba cuentas falsas para entregar un archivo PDF cifrado a los sistemas de destino, lo que actuó como un señuelo para desencadenar la infección. Una técnica lanzada “a partir de noviembre de 2022”, observan los expertos de Google. “Coldriver presenta estos materiales como un nuevo artículo de opinión u otro tipo de artículo que la cuenta falsa busca publicar, pidiendo al objetivo su opinión.

Cuando el usuario intenta abrir el PDF, el contenido parece ser texto cifrado. Si el objetivo solicita el descifrado, recibe un enlace, generalmente alojado en un sitio de almacenamiento en la nube, a una utilidad de "descifrado". Esta utilidad, junto con la visualización de un documento señuelo "descifrado", constituye la discreta puerta trasera de Spica. Aunque Coldriver ha utilizado malware antes, SPICA es el primer malware personalizado que se le atribuye. "En 2015 y 2016, el TAG observó que Coldriver utilizó el implante Scout revelado durante el incidente del Hacking Team de julio de 2015".

Spica, un malware multifacético

El análisis de TAG del binario Spica reveló que está escrito en Rust, un lenguaje de programación de bajo nivel utilizado para construir sistemas operativos, kernels y controladores de dispositivos. El binario utiliza JSON, un formato de intercambio de datos basado en texto, a través de Websockets hasta el servidor de comando y control (C2). "Una vez ejecutado, Spica decodifica un PDF incrustado, lo escribe en el disco y lo abre como un señuelo para el usuario", añadió el grupo de análisis de Google. “En segundo plano, establece persistencia e inicia el bucle C2 principal, esperando que se ejecuten los comandos. Spica admite una serie de comandos para ataques variados, incluidos comandos de shell arbitrarios, descargas, robo de cookies de Chrome, Firefox, Opera y Edge, además de enumerar documentos y filtrarlos en un archivo ". El TAG también notó la presencia de un Comando "Telegram", cuyas funcionalidades específicas no pudo analizar. El malware establece persistencia mediante la creación de una tarea programada llamada CalendarChecker, utilizando un comando de PowerShell ofuscado. Para generar conciencia, el Grupo de Análisis de Amenazas compartió Indicadores de Compromiso (IOC), incluidos. hashes de documentos pdf, algunas instancias de Spica y un dominio C2.