Google、PDFで政府要人を狙うロシアの脅威グループ「COLDRIVER」の手口を報告：テキストを復号するユーティリティツールが、裏でバックドアを構築

　TAGは、2022年11月の時点で、COLDRIVERがなりすましアカウントからPDFをターゲットに送信していることを確認している。COLDRIVERはこれらの文書を、なりすましアカウントが公開しようとしている新しい論説や他の関連記事として提示し、ターゲットからのフィードバックを求める。ユーザーがPDFを開くと、テキストが暗号化されて表示される。

おとりであるPDF内の「暗号化された」テキストのスクリーンショット（提供：Google）

　ターゲットが「暗号化された文書を読むことができない」と答えると、COLDRIVERのなりすましアカウントは、クラウドストレージサイトにホストされている、ターゲットが使用するための復号ユーティリティー「SPICA」へのリンクを返信する。SPICAは、被害者を欺くために偽の解読作業を表示しつつ、被害者のPCにバックドアを構築するカスタムマルウェアだ。

バックドアを構築するSPICAの特徴

　SPICAはRustで書かれており、コマンド＆コントロール（C2）サーバとWebSocketを通じてJSONを送受信する。TAGによると、以下のようなコマンドをサポートしているという。

• 任意のシェルコマンドの実行
• Chrome、Firefox、Opera、Edgeからクッキーを盗む
• ファイルのアップロードとダウンロード
• ファイルシステムの内容をリストアップすることによるファイルシステムの熟読
• ドキュメントの列挙とアーカイブへの流出
• 「telegram」と呼ばれるコマンドもあるが、同コマンドの機能は不明

　SPICAが起動されると、埋め込まれたPDFを復号し、それをディスクに書き込む。被害者に対しては、PDFを開く。次に、SPICAは被害者のシステムに持続的に存在するために必要な手順を踏む。この段階では難読化されたPowerShellコマンドが利用され、スケジュールされたタスクとして「CalendarChecker」という名前のタスクが作成される。

　さらに、SPICAは、C2との通信を確立し、COLDRIVERが被害者のマシンに対して命令を送るのを待機する。

難読化されたPowerShellコマンド（提供：Google）

　TAGは、暗号化されたPDFについて、4つの異なる亜種を観測した一方で、SPICAの単一のインスタンスしか取り出すことに成功していない。「Proton-decrypter.exe」と名付けられたこのサンプルは、C2アドレス「45.133.216[.]15:3000」を使用しており、2023年8月から9月にかけて活動していたという。

　TAGは「SPICAのバックドアには複数のバージョンが存在する可能性があり、ターゲットに送信されるおとり文書と一致するように、それぞれ異なるおとり文書が埋め込まれる。SPICAは早ければ2023年9月から利用が始まっているが、COLDRIVERによるバックドアの使用は少なくとも2022年11月までさかのぼる」と述べている。

コミュニティーを保護する、TAGの取り組み

　深刻な脅威と戦う取り組みの一環として、TAGはGoogle製品の安全性とセキュリティを向上させるためにTAGによる研究の成果を使用している。発見されたWebサイト、ドメイン、ファイルはセーフブラウジングに追加され、さらなる悪用からユーザーを保護している。またTAGは、標的とされた全てのGmailおよびWorkspaceユーザーに、活動を通知する政府支援の攻撃者アラートを送信し、潜在的な標的に対して、Chromeの拡張セーフブラウジングを有効にし、全てのデバイスがアップデートされていることを確認するよう促している。