Thread: Военные протестировали на себе новый вирус SPICA на основе Rust
View Single Post
  #1  
Old 04-12-2025, 03:53 PM
Artifact's Avatar

Artifact Artifact is offline
Administrator
Join Date: Jan 2024
Posts: 0
Default

Собственное вредоносное ПО помогло хакерам добиться целей.
Хакерская группировка COLDRIVER усовершенствовала свои методы и начала распространять своё первое собственное вредоносное ПО, написанное на языке программирования Rust.
Об этом сообщила группа анализа угроз Google TAG, которая поделилась подробностями о последней активности хакеров. По данным специалистов, атакующие используют PDF-файлы в качестве приманки, чтобы запустить процесс заражения. Ловушки отправляются с поддельных аккаунтов.
Атакующие использовали PDF-документы в качестве отправной точки с ноября 2022 года, чтобы заинтересовать цели открыть файлы. COLDRIVER представляет документы как новую статью, который отправитель хочет опубликовать, и просит получателя письма написать свой отзыв. Когда пользователь открывает PDF, он видит зашифрованный текст.

PDF-документ с зашифрованным текстом
Если получатель отвечает на сообщение, заявляя, что не может прочитать документ, хакер отвечает ссылкой на якобы инструмент для расшифровки ("Proton-decrypter.exe»), размещенный на облачном хранилище Proton Drive. На самом деле, расшифровщик — это бэкдор под названием SPICA, который предоставляет COLDRIVER скрытый доступ к устройству, одновременно отображая поддельный документ, чтобы скрыть взлом. При этом в фоновом режиме бэкдор подключается к C2-серверу.
SPICA, который является первым собственным вредоносным ПО, разработанным и использованным COLDRIVER, использует JSON поверх WebSockets для управления и контроля (Command and Control, C2), обеспечивая следующие возможности:
  • выполнение произвольных команд оболочки;

  • кража куки из веб-браузеров;

  • загрузка и скачивание файлов;

  • перечисление и эксфильтрация файлов;

  • достижение постоянства с помощью запланированной задачи.

В рамках своих усилий по предотвращению кампании и дальнейшей эксплуатации команда Google TAG добавила все известные веб-сайты, домены и файлы, связанные с COLDRIVER, в черные списки Google Safe Browsing. В Google заявили, что не располагают информацией о количестве жертв SPICA, но подозревают, что бэкдор использовался только в «очень ограниченных целенаправленных атаках», добавив, что основное внимание уделялось высокопоставленным лицам в НПО, бывшим разведчикам и военным, а также представителям министерства обороны и правительств разных стран.
Code:
https://blog.google/threat-analysis-group/google-tag-coldriver-russian-phishing-malware/