Googleの脅威分析グループ(Threat Analysis Group:TAG)は米国時間1月18日、ロシアの脅威グループ「COLDRIVER」が、認証情報を狙ったフィッシングという従来の活動以外に、PDF文書をおとりにマルウェアを配信していることを確認したと発表した。
提供:Stephen Shankland/CNET
COLDRIVERは「UNC4057」「Star Blizzard」「Callisto」としても知られる。このグループは、非政府組織(NGO)の要人、情報機関および軍の元幹部、北大西洋条約機構(NATO)の政府高官などを標的としたフィッシング攻撃を行ってきたという。
TAGによると、特定分野の専門家をよそおった偽アカウントを利用してユーザーと信頼関係を築き、フィッシング向けのリンクや、不正なリンクを含んだ文書を送信するというのがCOLDRIVERの常套手段だ。
新たな手口では、まず偽アカウントから無害のPDF文書を送信する。ユーザーが文書を開くと、暗号化されているように表示される。そのため、ユーザーが閲覧できないと返信すると、攻撃者はクラウド上にホストされている復号ユーティリティーへのリンクを送信する。
この復号ユーティリティーは実際にはバックドアであり、おとりの文書を表示する一方、攻撃者がユーザーのマシンにアクセスできるようにする。このカスタムマルウェアは「SPICA」という名称で追跡されており、COLDRIVERはこれを遅くとも2022年11月には使用していたとみられる。
SPICAはRustで記述されており、任意のシェルコマンドの実行、ウェブブラウザーのクッキーの窃取、ファイルのアップロードとダウンロード、ファイルシステムの内容の取得、ドキュメントの流出といったコマンドを実行できるという 。
おとりのPDFには4つの亜種があり、それに合わせてSPICAには複数のバージョンが存在するとTAGはみている。