- COLDRIVER je zamijenio malware LOSTKEYS od strane tri nove međusobno povezane porodice: NOROBOT, YESROBOT i MAYBEROBOT.
- Lanac infekcije se zasniva na ClickFix mamcima s lažnim CAPTCHA kodovima koji izazivaju izvršenje. naredbe zlonamjeran PowerShell en Windows.
- NOROBOT djeluje kao početni učitivač, dok je YESROBOT bio privremeni backdoor u piton a MAYBEROBOT je stabilni PowerShell implant koji se koristi za špijunažu.
- Odbrana zahtijeva kombinovanje zdravog razuma, praćenje rundll32 i PowerShella, blokiranje zlonamjernog HTML-a i jačanje detekcije HTTPS prometa prema nepoznatim C2 serverima.
Ruska grupa za sajber špijunažu COLDRIVER, također poznat u sigurnosnim izvještajima kao Star Blizzard, ColdRiver, Callisto ili UNC4057, napravio je kvalitativni skok u svojim metodama napada nakon što su istraživači iz... potpuno razotkrili jedan od njegovih glavnih alata, LOSTKEYS... GoogleDaleko od usporavanja, grupa je reagovala u roku od nekoliko dana novom generacijom zlonamjernog softvera dizajniranog da održi njene špijunske operacije u punom kapacitetu.
Ova promjena strategije ističe sposobnost prilagođavanja i ubrzani tempo razvoja od COLDRIVER-a. Njihove omiljene žrtve i dalje su novinari, organizacije za ljudska prava, nevladine organizacije, vlade, politički savjetnici i drugi visoko vrijedni profili u Evropi i Sjedinjenim Državama, ali sada fokus više nije samo na krađi akreditiva, već na preuzimanju direktne kontrole nad kompromitovanim računarima putem složenog lanca infekcije zasnovanog na lažnim CAPTCHA-ama i izvršavanju PowerShell naredbi.
Tri nova ruska zlonamjerna softvera od COLDRIVER-a: NOROBOT, YESROBOT i MAYBEROBOT
Nakon što je Google Threat Intelligence Group (GTIG) objavila tehničku analizu LOSTKEYS-aOperaterima COLDRIVER-a je trebalo samo pet dana da implementiraju tri nove porodice zlonamjernog softvera: NOROBOT, YESROBOT i MAYBEROBOT. Ove komponente ne djeluju izolirano, već formiraju međusobno povezan distribucijski lanac koji u potpunosti zamjenjuje LOSTKEYS unutar arsenala grupe.
Googleovi analitičari su ovu porodicu "ROBOT" opisali kao skup povezanih implantata koji sarađuju u različitim fazama infekcijeNOROBOT djeluje kao početna komponenta koja se instalira na sistem putem DLL datoteke koja se izvršava pomoću rundll32.exe; YESROBOT se pojavljuje kao minimalni backdoor u Pythonu koji se kratko koristi kao privremeno rješenje; a MAYBEROBOT je konsolidovan kao glavni implantat u PowerShellu, stabilniji, prikriveniji i fleksibilniji, dizajniran za produžene špijunske operacije.
COLDRIVER se preusmjerio s gotovo isključivog fokusiranja na krađu podataka putem provjere identiteta (credentials phishing) Sada se odlučuju za prilagođeni zlonamjerni softver koji im omogućava da direktno izvlače dokumente, sistemske datoteke i druge osjetljive informacije sa uređaja žrtava. Ova promjena povećava potencijalni utjecaj svakog upada i komplicira otkrivanje, jer više nije dovoljno pratiti sumnjive prijave; sada se moraju pažljivo pratiti anomalne aktivnosti PowerShella, rundll32 i šifrirani HTTPS promet za prikrivanje komandnih i kontrolnih (C2) servera.
Novi alati su dizajnirani za selektivnu primjenu. protiv ciljeva od posebnog interesa, često prethodno identifikovanih putem phishing kampanja ili drugih oblika izviđanja. Cilj je jasan: održati produženi pristup svojim uređajima, prikupiti strateške obavještajne podatke i izbjeći sigurnosne sisteme koji su već naučili detektovati prethodne varijante poput LOSTKEYS-a.
Lanac zaraze zasnovan na ClickFix mamacima i lažnim CAPTCHA kodovima
Jedna od najupečatljivijih promjena u poslovanju kompanije COLDRIVER Radi se o postepenom napuštanju klasičnog phishing e-maila sa zlonamjernim linkom ili prilogom u korist tehnike socijalnog inženjeringa poznate kao ClickFix. Ova tehnika se oslanja na HTML stranice dizajnirane da simuliraju tehničke probleme ili sigurnosne provjere koje su korisniku vrlo poznate, poput tipičnog "Nisam robot".
U ovim kampanjama, žrtva dolazi na stranicu koja prikazuje Lažni CAPTCHA "Nisam robot" ili iskačući prozor koji izgleda kao rutinska provjera. Umjesto rješavanja jednostavne vizualne slagalice, korisnik se poziva da kopira i zalijepi naredbu u dijaloški okvir "Pokreni" u sustavu Windows ili PowerShell konzolu, vjerujući da ispravlja grešku u verifikaciji. Ta naredba je, u stvarnosti, ulazna tačka za napad.
Google je nazvao početni HTML mamac kao HLADNO KOPIRANJEOva ClickFix HTML datoteka je odgovorna za instaliranje DLL-a pod nazivom NOROBOT na sistem, što je komponenta odgovorna za sljedeći korak u lancu infekcije. U praksi, žrtva samo treba da slijedi naizgled bezopasne upute lažnog CAPTCHA-e da bi se NOROBOT instalirao i bio spreman za rad.
U prethodnim fazama, LOSTKEYS je već koristio sličan pristup s lažnim captcha kodovima.prevarom korisnika da pokrene PowerShell skripte koje su pokrenule složeni trofazni lanac. U toj starijoj verziji, čak se i rezolucija ekrana provjeravala pomoću algoritmi za šifriranje i heširanje kako bi se spriječilo njegovo izvršenje u virtualne mašine Izvršena je analiza, a korišteni su sistemi zamjenskog šifriranja i VBScript skripte za prikrivanje konačnog korisnog tereta.
Kod ROBOT porodice, filozofija ostaje ista, ali Mehanizam isporuke je usavršen i svaka faza infekcije je bolje modulariziranaCOLDRIVER koristi poznavanje korisnika s CAPTCHA-ama i verifikacijskim porukama kako bi povećao povjerenje, a istovremeno smanjio potrebu za slanjem sumnjivih priloga ili previše očiglednih linkova. To rezultira kampanjama koje je teže otkriti i korisnicima i nekim sigurnosnim rješenjima.
NOROBOT: pristupnik i ključna karika u lancu
NOROBOT je komponenta koja inicira infekciju u kompromitovanim sistemima.Distribuira se kao DLL datoteka koju izvršava rundll32.exe, legitimna Windows binarna datoteka koju napadači iskorištavaju za prikrivanje svojih aktivnosti. Njena primarna funkcija je preuzimanje i instaliranje sljedećeg zlonamjernog softvera u lancu, koji može biti YESROBOT ili, u novijim verzijama, MAYBEROBOT.
U ranim fazama kampanje, NOROBOT je uključivao bučan i lako uočljiv korakPreuzimanje i instaliranje pune verzije Pythona 3.8 na računar žrtve bilo je neophodno za funkcionisanje YESROBOT-a. Ova radnja generirala je dodatne datoteke, vidljive promjene sistema i mrežni promet koji bi mogli izazvati sumnju među analitičarima ili sigurnosnim alatima.
con el tiempoOperateri COLDRIVER-a su otišli Fino podešavanje NOROBOT-a kako bi bio tiši i efikasnijiIstraživači kompanije Google ističu da je lanac infekcije povezan s ovom DLL datotekom prošao kroz faze pojednostavljenja, s ciljem povećanja šansi za uspješno izvršenje, prije ponovnog uvođenja složenosti na određenim mjestima, poput korištenja podijeljenih kriptografskih ključeva i drugih mehanizama zamagljivanja koji ometaju statičku i dinamičku analizu.
Kontinuirani razvoj NOROBOT-a Ovo pokazuje da COLDRIVER ne objavljuje jednostavno verziju i zaboravlja na nju, već stalno pregledava, testira i ažurira svoj kod kako bi zaobišao nove potpise detekcije, SIEM pravila i heurističke analize. Ovo kontinuirano usavršavanje poklapa se s obrascem koji je primijetio GTIG: povećana "brzina operacija", gdje iteracije zlonamjernog softvera brzo slijede jedna drugu nakon svakog curenja ili javnog izvještaja.
Sa defanzivne tačke gledišta, prati sumnjiva izvršavanja rundll32.exe Provjera učitavanja neobičnih DLL-ova i praćenje odlaznih veza prema nepoznatim domenama ili IP adresama ključno je za otkrivanje aktivnosti NOROBOT-a. Njegova uloga kao prve karike u lancu čini ga prioritetnom metom za rano otkrivanje.
YESROBOT: minimalni backdoor i privremeno rješenje
YESROBOT predstavlja prvi brzi odgovor kompanije COLDRIVER Nakon otkrivanja LOSTKEYS-a, utvrđeno je da se radi o vrlo osnovnom backdooru napisanom u Pythonu. Googleovi zapisi pokazuju da je ovaj backdoor korišten samo u nekoliko specifičnih slučajeva tokom perioda od oko dvije sedmice krajem maja, odmah nakon što su tehnički detalji LOSTKEYS-a objavljeni.
Na funkcionalnom nivou, YESROBOT koristi HTTPS veze sa čvrsto kodiranim komandnim i kontrolnim (C2) serverom da prima instrukcije. Iako je njegov kod relativno jednostavan, omogućava preuzimanje i izvršavanje dodatnih datoteka na zaraženom sistemu, kao i lociranje i eksfiltraciju dokumenata koje napadači smatraju vrijednim. Dovoljan je alat za uspostavljanje početnog udaljenog pristupa, ali mu nedostaju napredne mogućnosti njegovog nasljednika.
Činjenica da je kod YESROBOT-a uočeno tako malo infekcija podržava teoriju analitičara: To bi bila privremena "zakrpa" Dok je grupa završavala razvoj implantata, zaista su željeli dugoročno koristiti MAYBEROBOT. U stvari, početna struktura NOROBOT-a, preuzimanje cijelog Python okruženja, sugerira određenu dozu improvizacije kako bi se popunila praznina koju je ostavio LOSTKEYS.
Pojavom MAYBEROBOT-a i ukidanjem potrebe za potpunom instalacijom Pythona, YESROBOT je praktično napušten od strane COLDRIVER-a. Uprkos tome, njihovo postojanje potvrđuje da je grupa spremna žrtvovati eleganciju i prikrivenost u korist brzine kada je pritisnuta javnim otkrivanjem svojih prethodnih alata.
Za sigurnosne timove, bilo kakav trag abnormalnog pokretanja Pythona na mašinama na kojima ne bi trebao biti korišten Ovo bi trebalo da bude znak za uzbunu, posebno ako se kombinuje sa aktivnošću rundll32 i šifrovanim saobraćajem ka nepoznatim C2 serverima, jer bi moglo ukazivati na pokušaj korišćenja YESROBOT-a ili drugih prilagođenih alata zasnovanih na ovom jeziku.
MAYBEROBOT: Implant u zreliji i fleksibilniji PowerShell
MAYBEROBOT je prirodna evolucija COLDRIVER-ovog arsenala. I komponenta koja je, prema istraživačima, pouzdano zamijenila YESROBOT u najnovijim kampanjama. Za razliku od svog Python prethodnika, ovaj implant je napisan u PowerShellu, što mu omogućava bolju integraciju s Windows okruženjem i smanjuje potrebu za upadljivim vanjskim komponentama.
Ovaj implantat Dizajniran je tako da se može proširivati i prilagođavati potrebama svake operacije.Njegove mogućnosti uključuju preuzimanje i izvršavanje korisnih podataka s URL-a koji kontroliraju napadači i izvršavanje proizvoljnih naredbi putem cmd.exe datoteke i direktno izvršavanje dodatnog PowerShell koda. Ovo omogućava operaterima da prošire mogućnosti zlonamjernog softvera gotovo u realnom vremenu bez potrebe za redizajniranjem cijelog implantata.
Budući da je zasnovan na PowerShellu, MAYBEROBOT ima koristi od vrlo uobičajene površine za napad U Windows ekosistemu, upotreba skripti i automatizacije je uobičajena i među legitimnim administratorima i među napadačima. Ova dvojnost otežava strogo filtriranje, jer potpuno blokiranje PowerShella nije uvijek izvodljivo u složenim korporativnim okruženjima.
Objavljene analize sugeriraju da MAYBEROBOTT je rezervisan za strateške ciljeveOve mete su vjerovatno prethodno profilirane putem phishing kampanja ili prikupljanja informacija. Cilj nije masovni napad, već hirurški upad koji omogućava stalan pristup određenim sistemima radi krađe podataka, osjetljivih dokumenata i drugih vrijednih obavještajnih podataka tokom dužih perioda.
Suočeni s ovom vrstom prijetnje, Neophodno je imati stroge politike za korištenje PowerShella. (na primjer, ograničavanje na verzije sa zapisivanjem skripti, onemogućavanje nepotpisanog izvršavanja, omogućavanje rezanje napredno i korelira njegovu aktivnost sa EDR/SIEM) i proaktivno pregledava sumnjive naredbe, skripte i mrežne veze povezane s njegovim izvršavanjem.
Od krađe akreditiva do direktne kontrole uređaja
Prije pojave LOSTKEYS-a i porodice ROBOTCOLDRIVER je bio najpoznatiji po visoko ciljanim phishing kampanjama protiv zapadnih diplomata, disidenata, obavještajnog osoblja i radnika nevladinih organizacija, s ciljem dobijanja njihovih pristupnih podataka za cloud usluge i email račune.
Objavljivanje Googleovih izvještaja označilo je prekretnicu: LOSTKEYS je pokazao da grupa preduzima korak ka direktnom kompromitovanju uređaja.Ovaj zlonamjerni softver je raspoređen putem prilagođenih lanaca infekcije, svaki sa svojim vlastitim identifikatorima i ključevima za šifriranje, te je imao sposobnost krađe sistemskih datoteka, dokumenata i drugih lokalnih podataka, kao i nastavka prikupljanja podataka.
Sa NOROBOT-om, YESROBOT-om i MAYBEROBOT-om, Ovaj trend postaje sve jači i sofisticiranijiUmjesto jednostavnog hvatanja lozinki, COLDRIVER nastoji instalirati trajne implantate koji mu omogućavaju djelovanje unutar mreža svojih meta, lateralno kretanje, izvlačenje velikih količina informacija i prilagođavanje taktike na osnovu odbrane na koju naiđe.
Stručnjaci iz industrije ističu da Krađa akreditiva ostaje stalan rizikJer čak i najjače lozinke mogu postati žrtve ove vrste zlonamjernog softvera, posebno ako korisnici ne koriste višefaktorsku autentifikaciju ili ako organizacije ne prate kontinuirano kompromitirane vjerodajnice. Međutim, fokus se sve više pomiče prema potrebi da se krajnja tačka zaštiti i od ovih naprednih lanaca lozinki. Saznajte više o studijama slučaja krađa lozinka Pomaže u razumijevanju rizika.
Sam Google je reagovao dodavanjem domene i datoteke povezane s LOSTKEYS-om i novim kampanjama svojim sistemima Sigurnog pregledanja, pored slanja direktnih upozorenja potencijalno pogođenim korisnicima Gmaila i Workspacea. Uprkos tome, nijedno automatizirano rješenje ne zamjenjuje dobre sigurnosne prakse i aktivno praćenje anomalnog ponašanja na uređajima.
Kako se CAPTCHA kodovi s natpisom "Nisam robot" iskorištavaju za širenje zlonamjernog softvera
Zlonamjerna upotreba CAPTCHA-a jedan je od najopasnijih elemenata ovih kampanja.Korisnici su navikli da vide potvrde "Nisam robot" na mnoštvu legitimnih servisa, pa im skloni da vjeruju gotovo bez razmišljanja, posebno kada se čini da su dio normalnog iskustva pregledavanja.
Napadači COLDRIVER-a grade naizgled bezopasne web stranice, s obrascima ili sadržajem koji imitiraju pouzdane portaleZatim dodaju lažni CAPTCHA ili iskačući prozor s upozorenjem o tehničkom problemu. Umjesto jednostavnog klika na okvir, poruka može uputiti korisnika da kopira naredbu u Windows okvir "Pokreni", instalira navodno ažuriranje ili preuzme datoteku kako bi dovršio verifikaciju.
Izvršavanjem ovih radnji, korisnik, nesvjesno, Izvršava skripte koje mijenjaju sistemski registar.Oni planiraju zadatke kako bi osigurali trajnost i uvode nove zlonamjerne programe, kao što su YESROBOT ili MAYBEROBOT, na računar. Većina tradicionalnih antivirusnih programa može imati poteškoća s otkrivanjem ovih prijetnji u stvarnom vremenu, posebno ako se oslanjaju na enkripciju, maskiranje i korištenje legitimnih alata operativnog sistema.
Stručnjaci naglašavaju da Ova tehnika nije potpuno nova, ali je vremenom usavršena.Od klasičnog CAPTCHA-e za rješavanje matematičkih problema ili odabir slika, prešli smo na mnogo uvjerljivije okvire i tokove za verifikaciju. Napadači su prilično vješti u kopiranju izgleda originalnih sistema, što otežava razlikovanje legitimne verifikacije od lažne.
Sve je ovo dio šireg trenda gdje tradicionalne kampanje, kao što je phishing putem e-pošteOni se nastavljaju poboljšavati zahvaljujući alatima za automatizaciju i, sve više, zahvaljujući Umjetnička inteligencijaOvo omogućava kreiranje uvjerljivijih poruka, bolje dizajniranih lažnih stranica i uglađenijih sekvenci napada, povećavajući vjerovatnoću da će korisnik nasjesti na prevaru.
Globalni uticaj i srodni slučajevi izvan isključivo tehničkog okruženja
Aktivnosti COLDRIVER-a nisu ograničene samo na digitalni svijet.Kako su otkriveni detalji o NOROBOT-u, YESROBOT-u i MAYBEROBOT-u, holandske vlasti su otkrile slučaj koji ilustruje kako ove operacije mogu zavisiti od saradnika na terenu.
To je saopštilo holandsko javno tužilaštvo (Openbaar Ministerie, OM). Trojica sedamnaestogodišnjaka su bila pod istragom zbog pružanja usluga stranoj vladiJedan od njih, navodno u kontaktu s grupom hakera povezanih s ruskom vladom, naredio bi drugoj dvojici da mapiraju Wi-Fi mreže u različitim dijelovima Haga, a informacije o tome bi bile predate u zamjenu za financijsku naknadu.
Prema OM-u, Ovo mapiranje mreže moglo bi se koristiti za operacije digitalne špijunaže i sajber napade.Ovo povezuje fizičku aktivnost (prikupljanje podataka na bežičnoj infrastrukturi) s naprednim kampanjama zlonamjernog softvera koje se pripisuju državnim akterima. Dvojica osumnjičenih uhapšena su u septembru 2025. godine, dok treći, čija se uloga smatra ograničenijom, ostaje u kućnom pritvoru.
Holandske vlasti su dodale da, za sada, Nema dokaza da je osumnjičeni bio pod pritiskom u direktnom kontaktu s hakerskom grupom.Ovo ukazuje na to da je saradnja bila dobrovoljna, vjerovatno motivisana finansijskom dobiti. Ovaj slučaj se poklapa sa trendom prepuštanja određenih izviđačkih zadataka trećim stranama, čime se smanjuje direktna izloženost glavnih operatera.
Uzevši sve u obzir, ovaj scenario potvrđuje da Kibernetička špijunaža koju podržava država kombinira napredne tehnike, socijalni inženjering i fizičku logističku podrškuOvo predstavlja prijetnju koju je vrlo teško riješiti isključivo tehničkim alatima. Međunarodna saradnja i provođenje zakona igraju jednako važnu ulogu kao i kontinuirano poboljšanje u cybersecurity defanzivni.
Preporučene zaštitne mjere za korisnike i organizacije
Iako su kampanje COLDRIVER-a prvenstveno usmjerene na ciljeve visoke vrijednostiMnogi od korištenih vektora napada (stranice s lažnim CAPTCHA-ama, zlonamjerne HTML datoteke, zloupotreba PowerShella) mogu utjecati i na kućne korisnike i na mala poduzeća. Stoga je ključno implementirati kombinaciju najboljih praksi i tehničkih kontrola.
Iz perspektive digitalne higijene, Zdrav razum ostaje prva linija odbraneAko vas web stranica, skočni prozor ili navodni CAPTCHA traže da kopirate i zalijepite naredbu, instalirate čudan dodatak, preuzmete datoteku ili se prijavite na stranicu koju ne prepoznajete, mudro je biti sumnjičav i zatvoriti stranicu. U normalnim okolnostima, legitimni CAPTCHA-i ne zahtijevaju ovakve nametljive radnje.
U korporativnom okruženju, stručnjaci preporučuju pažljivo pratite izvršavanje rundll32.exe i PowerShellablokiranje sumnjivih aktivnosti i postavljanje upozorenja za izvršavanja izvan uobičajenih obrazaca. Također je preporučljivo filtrirati ili blokirati, kada je to moguće, HTML priloge u e-porukama i stranicama s otkrivenim lažnim CAPTCHA kodovima, kao i kontinuirano ažurirati indikatore kompromitacije (IOC) povezane s NOROBOT-om, YESROBOT-om i MAYBEROBOT-om, te Omogućite SmartScreen u Windowsu.
Još jedan važan sloj je zaštita mreže: Pojačati inspekciju HTTPS prometa prema nepoznatim C2 serverimaPrimjenjujte dinamičke liste blokiranih podataka, koristite filtrirani DNS i oslanjajte se na alate za testiranje u sandboxu kako biste analizirali ponašanje sumnjivih datoteka i skripti prije nego što dozvolite njihovo izvršavanje u produkcijskim okruženjima.
Nadalje, kako u domovima tako i u preduzećima, Neophodno je imati dobar antivirusni program ili sigurnosni paket (najbolji live antivirus), pravilno ažuriran i dopunjen automatskim ažuriranjima operativnog sistema i aplikacija. U Windows okruženju, rješenja poput Microsoft Defendera, Avasta, Bitdefendera i drugih renomiranih alternativa pružaju solidnu, iako ne i nepogrešivu, osnovu. Stalna ažuriranja pomažu u ublažavanju ranjivosti koje napadači mogu iskoristiti za dobijanje privilegija ili zaobilaženje kontrola.
Ako sumnjate da ste unijeli lozinku na sumnjivoj web stranici ili da ste izvršili zlonamjernu naredbu, Djelujte brzo: odmah promijenite pogođene akreditiveProvjerite znakove neobičnog pristupa, omogućite višefaktorsku autentifikaciju gdje je to moguće i razmislite o potpunom skeniranju sistema specijaliziranim alatima protiv zlonamjernog softvera. provjeriti integritet datoteke.
Nedavna historija LOSTKEYS-a i tri nova ruska zlonamjerna softvera od COLDRIVER-a Ovo pokazuje da se grupe za sajber špijunažu koje podržava država stalno razvijaju.Kada alat postane javan i postane "zapaljen", oni reaguju u roku od nekoliko dana s novim, modularnijim varijantama bolje prilagođenim trenutnim odbranama, sve više se oslanjajući na obmanu putem lažnih CAPTCHA i inteligentno korištenje legitimnih sistemskih komponenti kako bi ostali nezapaženi.
Strastveni pisac o svijetu bajtova i tehnologije općenito. Volim dijeliti svoje znanje kroz pisanje, a to je ono što ću raditi na ovom blogu, pokazivati vam sve najzanimljivije stvari o gadžetima, softveru, hardveru, tehnološkim trendovima i još mnogo toga. Moj cilj je pomoći vam da se krećete u digitalnom svijetu na jednostavan i zabavan način.