Selon un rapport du Threat Analysis Group (TAG) de Google, Coldriver, parrainé par l'État russe, améliore ses techniques offensives. Le groupe est connu pour ses attaques de spear phishing contre des entités gouvernementales ou ONG à des fins de cyber-espionnage. Également connue sous les noms de UNC4057, Star Blizzard, Blue Charlie et Callisto, cet APT rajoute dans son arsenal un malware nommé Spica pour voler des informations, exécuter des commandes arbitraires et établir une persistance.
Le Threat Analysis Group « a récemment constaté que Coldriver a fait évoluer ses tactiques d’hameçonnage pour collecter des identifiants et diffuser des logiciels malveillants dans ses campagnes, en utilisant des documents PDF comme appâts ». Ces observations ont été faites après « l’interruption d’une campagne en cours ».
Un leurre PDF pour diffuser des malwares
Dans sa dernière campagne, le TAG a pu voir que Coldriver utilisait des faux comptes pour livrer un fichier PDF chiffré aux systèmes cibles, lequel agissait comme un leurre pour déclencher l'infection. Une technique lancée « dès novembre 2022 », observe les experts de Google. « Coldriver présente ces documents comme un nouvel article d'opinion ou un autre type d'article que le faux compte cherche à publier, en demandant à la cible de donner son avis.
Quand l'utilisateur tente d'ouvrir le PDF, le contenu semble être un texte crypté. Si la cible demande le décryptage, elle reçoit un lien, généralement hébergé sur un site de stockage cloud, vers un utilitaire de « décryptage ». Cet utilitaire, ainsi que l'affichage d'un document « décrypté » leurre, constituent la backdoor de Spica en toute discrétion. Même si Coldriver a déjà utilisé un malware, SPICA est le premier logiciel malveillant personnalisé qui lui est attribué. « En 2015 et 2016, le TAG avait observé que Coldriver utilisait l'implant Scout divulgué lors de l'incident Hacking Team de juillet 2015 ».
Spica, un malware à multiples facettes
L'analyse du binaire Spica par le TAG a révélé qu'il est écrit en Rust, un langage de programmation de bas niveau qui sert à construire des systèmes d'exploitation, des noyaux et des pilotes de périphériques. Le binaire utilise JSON, un format d'échange de données basé sur le texte, par le biais de Websockets pour le serveur de commande et de contrôle (C2). « Une fois exécuté, Spica décode un PDF intégré, l'écrit sur le disque et l'ouvre comme un leurre pour l'utilisateur », a ajouté le groupe d’analyses de Google. « En arrière-plan, il établit la persistance et démarre la boucle C2 principale, en attendant l'exécution des commandes. Spica prend en charge un certain nombre de commandes pour des attaques variées, notamment des commandes shell arbitraires, des téléchargements, le vol de cookies à partir de Chrome, Firefox, Opera et Edge, ainsi que l'énumération de documents et leur exfiltration dans une archive ». Le TAG a aussi remarqué la présence d’une commande « Telegram » dont il n'a pas pu analyser les fonctionnalités spécifiques. La malware établit la persistance en créant une tâche programmée nommée CalendarChecker, à l'aide d'une commande PowerShell obscurcie. Pour sensibiliser les utilisateurs, le Threat Analysis Group a partagé des indicateurs de compromission (IOC) comprenant des hachages de documents pdf, certaines instances Spica et un domaine C2.
Commentaire