Google威胁分析小组(Threat Analysis Group,TAG)本周揭露俄罗斯骇客组织ColdRiver最新的攻击战术流程(Tactics、Techniques与Procedures),指出ColdRiver原本是透过网钓活动来获取目标对象的凭证,但最近观察到骇客开始利用PDF档以于目标对象的机器上植入后门。
ColdRiver是个专门锁定乌克兰、北约组织国家、学术机构及非政府组织展开攻击的俄罗斯骇客组织,过去ColdRiver通常使用伪造的帐号,假冒为特定领域的专家,或是与目标对象有关的个人,与目标对象建立关系之后,伺机展开网钓攻击,透过传送连结及含有连结的档案骗取目标对象的凭证。
然而,最近TAG发现ColdRiver采用了新战术,一样是先以假冒的身分与目标对象建立关系,之后传送一个伪装成准备发表的PDF专栏文章的PDF予目标对象,并请求对方提供意见,但当使用者打开PDF档时,发现文字是加密的,于是骇客就会再传递一个宣称可用来解密的连结,连向云端的档案,但该档案实际上是个后门程式SPICA。
TAG表示,SPICA为ColdRiver首个自行打造的恶意程式,以Rust撰写的SPICA可用来执行任何Shell命令,还能自Chrome、Firefox、Opera和Edge等浏览器中窃取Cookie,也能用来上传及下载档案,或是列出文件系统内容,以及枚举并汲取文件等。
研究人员虽是在去年9月发现SPICA,但SPICA的行动最早可追溯到2022年的11月,同时相信SPICA应有不同的版本,并以不同的PDF档案来当作诱饵。