Google威脅分析小組(Threat Analysis Group,TAG)本周揭露俄羅斯駭客組織ColdRiver最新的攻擊戰術流程(Tactics、Techniques與Procedures),指出ColdRiver原本是透過網釣活動來獲取目標對象的憑證,但最近觀察到駭客開始利用PDF檔以於目標對象的機器上植入後門。

ColdRiver是個專門鎖定烏克蘭、北約組織國家、學術機構及非政府組織展開攻擊的俄羅斯駭客組織,過去ColdRiver通常使用偽造的帳號,假冒為特定領域的專家,或是與目標對象有關的個人,與目標對象建立關係之後,伺機展開網釣攻擊,透過傳送連結及含有連結的檔案騙取目標對象的憑證。

然而,最近TAG發現ColdRiver採用了新戰術,一樣是先以假冒的身分與目標對象建立關係,之後傳送一個偽裝成準備發表的PDF專欄文章的PDF予目標對象,並請求對方提供意見,但當使用者打開PDF檔時,發現文字是加密的,於是駭客就會再傳遞一個宣稱可用來解密的連結,連向雲端的檔案,但該檔案實際上是個後門程式SPICA。

TAG表示,SPICA為ColdRiver首個自行打造的惡意程式,以Rust撰寫的SPICA可用來執行任何Shell命令,還能自Chrome、Firefox、Opera和Edge等瀏覽器中竊取Cookie,也能用來上傳及下載檔案,或是列出文件系統內容,以及枚舉並汲取文件等。

研究人員雖是在去年9月發現SPICA,但SPICA的行動最早可追溯到2022年的11月,同時相信SPICA應有不同的版本,並以不同的PDF檔案來當作誘餌。

熱門新聞

Advertisement