官方公众号企业安全新浪微博

FreeBuf+小程序把安全装进口袋

• 资讯

Bleeping Computer 网站消息，谷歌发现疑似俄罗斯支持的黑客组织 ColdRiver 正在使用伪装成 PDF 解密工具的有效载荷，推送未知的后门恶意软件 Spica。

威胁攻击者通过冒充与受害目标有关联的用户发送看似加密的 PDF 文档（这是 2022 年 11 月首次观察到的一种钓鱼邮件策略），一旦收件人回复称自己无法阅读 "加密 "文档时，就会收到一个链接，下载一个看起来像 PDF 解密程序的可执行文件（名为 Proton decrypter.exe），以查看“引诱文档”中的内容。

安全研究人员表示， ColdRiver 组织会将这些文件作为专栏文章或其他类型文章展示在互联网上，收集目标用户提供的反馈，当用户打开看似正常的 PDF 文件时，文本会被加密。此后，受害目标下载的假冒解密软件会显示一个 PDF 诱饵文档，这个诱饵文档会使用一种被 TAG  安全研究人员称为 Spica 的恶意软件变种，对受害者设备进行后门攻击。

更糟糕的是，研究人员还指出，很可能有多个 Spica 样本与钓鱼诱饵匹配，每个样本都有不同的诱饵文档。

PDF 诱饵文档（来源：Google TAG）

安全研究人员强调，基于 Spica-Rust 的恶意软件通过 websockets 使用 JSON 与其命令和控制（C2）服务器进行通信，并帮助运行任意 shell 命令、窃取 Chrome、Firefox、Opera 和 Edge cookie、上传和下载文件以及泄露文档。

一旦部署在受害者设备上，Spica 恶意软件还将使用混淆的 PowerShell 命令建立“持久性”，该命令将在被入侵设备上创建一个'CalendarChecker' 计划任务。值得一提的是，虽然 TAG 的研究人员是在 2023 年 9 月观察到的 Spica  恶意软件，但仍认为 ColdRiver 组织使用 Spica 后门的时间至少可以追溯到 2022 年 11 月。

ColdRiver 组织早就进入了美国政府“黑名单”

发现 Spica 恶意软件后，谷歌立刻将攻击中使用的所有域、网站和文件添加到其安全浏览网络钓鱼保护服务中，并通知所有目标 Gmail 和 Workspace 用户，他们已经成为了疑似具有政府背景黑客组织的攻击目标。

ColdRiver 组织也被业内人士追踪为 Callisto Group、Seaborgium 和 Star Blizzard，自 2015 年末以来一直很活跃，以其开源情报（OSINT）和社交工程技能而闻名，威胁攻击者可以利用这些技能研究和引诱目标进行鱼叉式网络钓鱼攻击。

此前，微软曾通过禁用威胁攻击者用于监视和收集电子邮件的微软账户，挫败了几起针对欧洲北约国家的 ColdRiver 攻击。

"五眼联盟 "曾将 ColdRiver 组织与俄罗斯的 "18 中心 "联邦安全局（FSB）部门联系起来了，该部门是俄罗斯内部安全和反间谍部门。自 2023 年 12 月以来，美国国务院一直赏最高达 1000 万美元的奖金，以奖励能够找到或识别 ColdRiver 威胁组织的信息。

参考文章：

https://www.bleepingcomputer.com/news/security/google-russian-fsb-hackers-deploy-new-spica-backdoor-malware/