Google揭露俄羅斯駭客ColdRiver的最新戰術，以PDF檔遞送後門程式

Google威脅分析小組（Threat Analysis Group，TAG）本周揭露俄羅斯駭客組織ColdRiver最新的攻擊戰術流程（Tactics、Techniques與Procedures），指出ColdRiver原本是透過網釣活動來獲取目標對象的憑證，但最近觀察到駭客開始利用PDF檔以於目標對象的機器上植入後門。

ColdRiver是個專門鎖定烏克蘭、北約組織國家、學術機構及非政府組織展開攻擊的俄羅斯駭客組織，過去ColdRiver通常使用偽造的帳號，假冒為特定領域的專家，或是與目標對象有關的個人，與目標對象建立關係之後，伺機展開網釣攻擊，透過傳送連結及含有連結的檔案騙取目標對象的憑證。

然而，最近TAG發現ColdRiver採用了新戰術，一樣是先以假冒的身分與目標對象建立關係，之後傳送一個偽裝成準備發表的PDF專欄文章的PDF予目標對象，並請求對方提供意見，但當使用者打開PDF檔時，發現文字是加密的，於是駭客就會再傳遞一個宣稱可用來解密的連結，連向雲端的檔案，但該檔案實際上是個後門程式SPICA。

TAG表示，SPICA為ColdRiver首個自行打造的惡意程式，以Rust撰寫的SPICA可用來執行任何Shell命令，還能自Chrome、Firefox、Opera和Edge等瀏覽器中竊取Cookie，也能用來上傳及下載檔案，或是列出文件系統內容，以及枚舉並汲取文件等。

研究人員雖是在去年9月發現SPICA，但SPICA的行動最早可追溯到2022年的11月，同時相信SPICA應有不同的版本，並以不同的PDF檔案來當作誘餌。