【概要】
項目 |
内容 |
---|---|
言語 | Rust |
通信プロトコル | Websocket |
使用組織 | ColdRiver (ロシア) |
攻撃手法 | なりすましアカウントを使用し、PDF文書を送信 |
ターゲット | ウクライナ、NATO諸国、学術機関、NGO |
可能な動作 | シェルコマンドの実行、Chrome、Firefox、Opera、Edgeからのクッキーの窃取、ファイルのアップロードとダウンロード、ファイルシステムの使用、ドキュメントの流出 |
【要約】
Googleの脅威分析グループ(TAG)は、ロシアのハッキンググループCOLDRIVERによる脅威について報告しました。COLDRIVERは、NGO、元情報機関、軍将校、NATO政府などに対してクレデンシャルフィッシング活動を行っており、ウクライナ、NATO諸国、学術機関、NGOをターゲットにしています。彼らはなりすましアカウントを使用し、PDF文書を送信しています。PDFを開くと、テキストが暗号化され、解読するためのリンクが提供されますが、実際にはバックドア型マルウェアであるSPICAへのアクセスを提供します。SPICAは感染デバイスの制御にウェブソケット通信を使用し、攻撃者にさまざまなコマンドを実行する能力を与えます。GoogleはTAGの結果をセキュリティ向上に活用し、セーフブラウジングと通知を強化しています。
【ニュース】
◆What is SPICA backdoor malware used by Russian hackers on Western officials? (IndianExpress, 2024/01/20)
https://indianexpress.com/article/technology/tech-news-technology/spica-backdoor-malware-9117435/
【関連まとめ記事】
◆全体まとめ
◆マルウェア / Malware (まとめ)
◆バックドア / Backdoor / RAT (まとめ)
◆SPICA (まとめ)
https://malware-log.hatenablog.com/entry/SPICA