Новости Военные протестировали на себе новый вирус SPICA на основе Rust

NewsMaker

I'm just a script
Премиум
14,594
22
8 Ноя 2022
Собственное вредоносное ПО помогло хакерам добиться целей.


ayui3powm43r279wh09n0souolz78q7d.jpg


Хакерская группировка COLDRIVER усовершенствовала свои методы и начала распространять своё первое собственное вредоносное ПО, написанное на языке программирования Rust.

Об этом Для просмотра ссылки Войди или Зарегистрируйся группа анализа угроз Google TAG, которая поделилась подробностями о последней активности хакеров. По данным специалистов, атакующие используют PDF -файлы в качестве приманки, чтобы запустить процесс заражения. Ловушки отправляются с поддельных аккаунтов.

Атакующие использовали PDF-документы в качестве отправной точки с ноября 2022 года, чтобы заинтересовать цели открыть файлы. COLDRIVER представляет документы как новую статью, который отправитель хочет опубликовать, и просит получателя письма написать свой отзыв. Когда пользователь открывает PDF, он видит зашифрованный текст.


bfwnhbr0tciv031zln0d7hdqa5ou9bti.png


PDF-документ с зашифрованным текстом

Если получатель отвечает на сообщение, заявляя, что не может прочитать документ, хакер отвечает ссылкой на якобы инструмент для расшифровки ("Proton-decrypter.exe»), размещенный на облачном хранилище Proton Drive . На самом деле, расшифровщик — это бэкдор под названием SPICA, который предоставляет COLDRIVER скрытый доступ к устройству, одновременно отображая поддельный документ, чтобы скрыть взлом. При этом в фоновом режиме бэкдор подключается к C2 -серверу.

SPICA, который является первым собственным вредоносным ПО, разработанным и использованным COLDRIVER, использует JSON поверх WebSockets для управления и контроля (Command and Control, C2), обеспечивая следующие возможности:

  • выполнение произвольных команд оболочки;
  • кража куки из веб-браузеров;
  • загрузка и скачивание файлов;
  • перечисление и эксфильтрация файлов;
  • достижение постоянства с помощью запланированной задачи.
В рамках своих усилий по предотвращению кампании и дальнейшей эксплуатации команда Google TAG добавила все известные веб-сайты, домены и файлы, связанные с COLDRIVER, в Для просмотра ссылки Войди или Зарегистрируйся Google Safe Browsing. В Google заявили, что не располагают информацией о количестве жертв SPICA, но подозревают, что бэкдор использовался только в «очень ограниченных целенаправленных атаках», добавив, что основное внимание уделялось высокопоставленным лицам в НПО, бывшим разведчикам и военным, а также представителям министерства обороны и правительств разных стран.
 
Источник новости
www.securitylab.ru

Похожие темы