Google’s Threat Analysis Group (TAG) a récemment perturbé une campagne de malware menée par un groupe de menaces lié à la Russie, connu sous le nom de Coldriver.
Cette campagne se distinguait par son utilisation de fichiers PDF comme appâts.
Dans ces fichiers, les textes semblaient chiffrés.
Lorsque les victimes ciblées essayaient d’ouvrir ces fichiers, elles étaient redirigées vers un soi-disant outil de « décryptage ».
En réalité, cet outil était un backdoor nommé SPICA, développé par Coldriver.
Ce malware est capable d’exécuter des commandes, de voler des cookies de navigateur et d’exfiltrer des documents.
La campagne visait principalement des individus hautement placés dans des ONG, d’anciens officiels du renseignement et militaires, ainsi que des gouvernements de l’OTAN
Points clés du rapport :
– Évolution des Tactiques : COLDRIVER, auparavant concentré sur le phishing de données d’identification, a maintenant élargi son répertoire pour inclure la distribution de logiciels malveillants.
Cela marque une escalade significative dans leurs capacités d’espionnage cybernétique.
– Méthode de Distribution de Malware :
Le groupe utilise des documents PDF comme appâts.
Initialement, ils envoient des PDF qui semblent bénins et chiffres.
Si la cible signale qu’elle ne peut pas lire le document, un lien vers un prétendu utilitaire de « décryptage » est fourni.
Cet utilitaire est en fait un logiciel malveillant de type backdoor nommé SPICA.
– Backdoor SPICA :
Ce malware, écrit en Rust, utilise JSON via des websockets pour le commandement et le contrôle.
Il peut exécuter des commandes arbitraires, voler des cookies, télécharger/upload des fichiers, et énumérer et exfiltrer des documents.
SPICA dissimule son activité malveillante en affichant un document leurre tout en fonctionnant en arrière-plan.
– Mécanisme de Persistance :
SPICA établit sa persistance sur la machine de la victime via une commande PowerShell obscurcie, créant une tâche planifiée nommée CalendarChecker.
– Chronologie de la Campagne :
TAG a observé l’utilisation de SPICA dès septembre 2023, mais pense que son déploiement remonte au moins à novembre 2022.
– Mesures de Protection :
TAG a réagi en ajoutant tous les domaines et hash malveillants connus aux listes de blocage de la navigation sécurisée de Google.
Ils émettent également des alertes d’attaquants soutenus par des gouvernements aux utilisateurs ciblés et recommandent des mesures de sécurité renforcées.
+ hachages SHA256 ainsi qu’une règle YARA de détection dispos.
Ce type d’activité montre que les groupes de cyberespionnage liés à la Russie adaptent continuellement leurs techniques et développent de nouveaux outils pour cibler des victimes potentielles.
Sources : https://lnkd.in/eFHqtupA + https://lnkd.in/eiqd_dmZ
Google TAG Contre-attaque : Démantèlement d’une Campagne Malveillante de Coldriver Utilisant des Fichiers PDF Piégés
