Tři nové ruské malwarové programy od společnosti COLDRIVER a jejich nebezpečný vývoj

Ruská kybernetická špionážní skupina COLDRIVER, v bezpečnostních zprávách známý také jako Star Blizzard, ColdRiver, Callisto nebo UNC4057, učinil kvalitativní skok ve svých útočných metodách poté, co jeden z jeho hlavních nástrojů, LOSTKEYS, byl zcela odhalen výzkumníky z GoogleSkupina zdaleka nezpomalila, ale během několika dní zareagovala novou generací malwaru, jehož cílem je udržet její špionážní operace v plném provozu.

Tato změna strategie zdůrazňuje schopnost adaptace a zrychlené tempo rozvoje od COLDRIVER. Jejich oblíbenými oběťmi jsou i nadále novináři, organizace pro lidská práva, nevládní organizace, vlády, političtí poradci a další vysoce hodnotní profily v Evropě a Spojených státech, ale nyní se pozornost již neklade jen na krádež přihlašovacích údajů, ale na převzetí přímé kontroly nad napadenými počítači prostřednictvím komplexního infekčního řetězce založeného na falešných CAPTCHA a provádění příkazů PowerShellu.

Tři nové ruské malwary od společnosti COLDRIVER: NOROBOT, YESROBOT a MAYBEROBOT

Po zveřejnění technické analýzy LOSTKEYS skupinou Google Threat Intelligence Group (GTIG)Operátoři skupiny COLDRIVER potřebovali pouhých pět dní na nasazení tří nových rodin malwaru: NOROBOT, YESROBOT a MAYBEROBOT. Tyto komponenty nefungují izolovaně, ale tvoří propojený distribuční řetězec, který v arzenálu skupiny kompletně nahrazuje LOSTKEYS.

Analytici Googlu popsali tuto rodinu „ROBOTŮ“ jako sada souvisejících implantátů, které spolupracují v různých fázích infekceNOROBOT funguje jako počáteční komponenta, která se do systému instaluje prostřednictvím souboru DLL spouštěného pomocí rundll32.exe; YESROBOT se v Pythonu jeví jako minimální backdoor, krátce používaný jako dočasné řešení; a MAYBEROBOT je konsolidován jako hlavní implantát v PowerShellu, stabilnější, nenápadnější a flexibilnější, určený pro dlouhodobé špionážní operace.

COLDRIVER se odklonil od téměř výhradního zaměření na phishing přihlašovacích údajů. Nyní se rozhodují pro vlastní malware, který jim umožňuje extrahovat dokumenty, systémové soubory a další citlivé informace přímo ze zařízení obětí. Tato změna zvyšuje potenciální dopad každého narušení a komplikuje detekci, protože již nestačí sledovat podezřelé přihlášení; nyní je nutné pečlivě sledovat anomální aktivitu PowerShellu, rundll32 a šifrovaný provoz HTTPS, který má zakrýt servery velení a řízení (C2).

Nové nástroje byly navrženy tak, aby se mohly nasazovat selektivně. proti cílům zvláštního zájmu, často dříve identifikovaným prostřednictvím phishingových kampaní nebo jiných forem průzkumu. Cíl je jasný: udržet si dlouhodobý přístup ke svým zařízením, shromažďovat strategické informace a vyhýbat se bezpečnostním systémům, které se již naučily detekovat předchozí varianty, jako je LOSTKEYS.

Řetězec infekce založený na návnadách ClickFix a falešných CAPTCHA

Jedna z nejvýraznějších změn v provozu společnosti COLDRIVER Jde o postupné opuštění klasických phishingových e-mailů se škodlivým odkazem nebo přílohou ve prospěch techniky sociálního inženýrství známé jako ClickFix. Tato technika se spoléhá na HTML stránky navržené tak, aby simulovaly technické problémy nebo bezpečnostní kontroly, které jsou uživateli velmi dobře známé, jako například typické „Nejsem robot“.

V těchto kampaních se oběť dostane na stránku, která zobrazuje Falešná CAPTCHA „Nejsem robot“ nebo vyskakovací okno, které vypadá jako rutinní kontrola. Místo řešení jednoduché vizuální hádanky je uživatel vyzván ke zkopírování a vložení příkazu do dialogového okna „Spustit“ ve Windows nebo do konzole PowerShellu v domnění, že opravuje chybu ověření. Tento příkaz je ve skutečnosti vstupním bodem pro útok.

Google pojmenoval původní HTML návnadu jako COLDCOPITento HTML soubor ClickFix je zodpovědný za umístění DLL s názvem NOROBOT do systému, což je komponenta odpovědná za další krok v řetězci infekce. V praxi stačí, aby oběť následovala zdánlivě neškodné pokyny falešné CAPTCHA, aby se NOROBOT nainstaloval a byl připraven k provozu.

V předchozích fázích LOSTKEYS již používal podobný přístup s falešnými captchami.oklamání uživatele ke spuštění PowerShellových skriptů, které iniciovaly složitý třífázový řetězec. V té starší verzi se dokonce kontrolovalo rozlišení obrazovky pomocí šifrovací a hašovací algoritmy aby se zabránilo jeho provedení v virtuální stroje Byla provedena analýza a k zakrytí výsledného datového zatížení byly použity substituční šifrovací systémy a skripty VBScript.

U rodiny ROBOTů zůstává filozofie stejná, ale Mechanismus doručení je zdokonalen a každá fáze infekce je lépe modularizována.COLDRIVER využívá znalost CAPTCHA a ověřovacích zpráv uživatelů ke zvýšení důvěry a zároveň snižuje potřebu odesílat podezřelé přílohy nebo příliš zřejmé odkazy. Výsledkem jsou kampaně, které je pro uživatele i některá bezpečnostní řešení obtížnější odhalit.

NOROBOT: brána a klíčový článek v řetězci

NOROBOT je komponenta, která iniciuje infekci v napadených systémech.Je distribuován jako soubor DLL, který spouští rundll32.exe, legitimní binární soubor systému Windows, který útočníci zneužívají k maskování svých aktivit. Jeho primární funkcí je stažení a instalace dalšího malwaru v řetězci, kterým může být YESROBOT nebo v novějších verzích MAYBEROBOT.

V raných fázích kampaně, NOROBOT zahrnoval hlučný a snadno detekovatelný krokStažení a instalace plné verze Pythonu 3.8 na počítač oběti bylo nezbytné pro fungování YESROBOTu. Tato akce generovala další soubory, viditelné změny systému a síťový provoz, které by mohly vzbudit podezření u analytiků nebo bezpečnostních nástrojů.

s časOperátoři COLDRIVERu odešli Jemné doladění NOROBOTu pro zvýšení jeho tiššího a efektivnějšího výkonuVýzkumníci z Googlu poukazují na to, že infekční řetězec spojený s touto knihovnou DLL prošel fázemi zjednodušování s cílem zvýšit šance na úspěšné spuštění, než v určitých bodech znovu zavedl složitost, jako je použití rozdělených kryptografických klíčů a dalších mechanismů zmatkování, které brání statické a dynamické analýze.

Pokračující vývoj systému NOROBOT To ukazuje, že COLDRIVER jednoduše nevydá verzi a nezapomene na ni, ale neustále kontroluje, testuje a aktualizuje svůj kód, aby obešel nové detekční signatury, pravidla SIEM a heuristické analýzy. Toto neustálé zdokonalování je v souladu se vzorem pozorovaným GTIG: zvýšená „rychlost operací“, kdy iterace malwaru rychle následují po každém úniku nebo veřejném nahlášení.

Z obranného hlediska, monitorování podezřelých spuštění souboru rundll32.exe Kontrola načítání neobvyklých knihoven DLL a monitorování odchozích připojení k neznámým doménám nebo IP adresám je klíčem k detekci aktivity NOROBOTu. Jeho role jako prvního článku v řetězci z něj činí prioritní cíl pro včasnou detekci.

YESROBOT: minimální zadní vrátka a dočasné řešení

YESROBOT představuje první rychlou reakci společnosti COLDRIVER Po odhalení LOSTKEYS se ukázalo, že se jedná o velmi jednoduchý backdoor napsaný v Pythonu. Záznamy Googlu ukazují, že tento backdoor byl nasazen pouze v několika specifických případech během přibližně dvou týdnů na konci května, hned poté, co byly zveřejněny technické podrobnosti o LOSTKEYS.

Na funkční úrovni, YESROBOT používá HTTPS připojení k pevně zakódovanému serveru velení a řízení (C2). přijímat instrukce. Ačkoli je jeho kód relativně jednoduchý, umožňuje stahování a spouštění dalších souborů na infikovaném systému, stejně jako lokalizaci a exfiltraci dokumentů, které útočníci považují za cenné. Je to dostatečný nástroj pro navázání počátečního vzdáleného přístupu, ale postrádá pokročilé funkce svého nástupce.

Skutečnost, že u viru YESROBOT bylo pozorováno tak málo infekcí, podporuje teorii analytiků: Byla by to dočasná „náplast“ Zatímco skupina dokončovala vývoj implantátu, chtěla dlouhodobě používat MAYBEROBOT. Počáteční struktura NOROBOTu, stahování celého prostředí Pythonu, dokonce naznačuje určitou míru improvizace, která by zaplnila mezeru po LOSTKEYS.

S příchodem MAYBEROBOTu a odstraněním požadavku na plnou instalaci Pythonu, YESROBOT je prakticky opuštěný od COLDRIVER. Přesto jeho existence potvrzuje, že skupina je ochotna obětovat eleganci a nenápadnost ve prospěch rychlosti, když je pod tlakem veřejného odhalení svých předchozích nástrojů.

Pro bezpečnostní týmy, jakékoli stopy po abnormálním běhu Pythonu na počítačích, kde by se neměl používat Toto by mělo být varovným signálem, zejména v kombinaci s aktivitou rundll32 a šifrovaným provozem na neznámé servery C2, protože by to mohlo naznačovat pokus o použití YESROBOT nebo jiných vlastních nástrojů založených na tomto jazyce.

MAYBEROBOT: Implantát v zralejším a flexibilnějším PowerShellu

MAYBEROBOT je přirozeným vývojem arzenálu COLDRIVER. A komponenta, která podle výzkumníků v posledních kampaních spolehlivě nahradila YESROBOT. Na rozdíl od svého předchůdce v Pythonu je tento implantát napsán v PowerShellu, což mu umožňuje lepší integraci s prostředím Windows a snižuje potřebu nápadných externích komponent.

Tento implantát Je navržen tak, aby byl rozšiřitelný a přizpůsobitelný potřebám každé operace.Mezi jeho schopnosti patří stahování a spouštění dat z URL adresy kontrolované útočníky a provádění libovolných příkazů prostřednictvím cmdsoubory .exe a přímé spuštění dalšího kódu PowerShellu. To umožňuje operátorům rozšířit možnosti malwaru téměř v reálném čase, aniž by museli přepracovávat celý implantát.

Jelikož je založen na PowerShellu, MAYBEROBOT těží z velmi běžného útočného povrchu V ekosystému Windows je používání skriptů a automatizace běžné jak mezi legitimními správci, tak mezi útočníky. Tato dualita ztěžuje striktní filtrování, protože úplné blokování PowerShellu není ve složitých firemních prostředích vždy proveditelné.

Publikované analýzy naznačují, že MAYBEROBOTT je vyhrazen pro strategické cíleTyto cíle byly pravděpodobně dříve odhaleny prostřednictvím phishingových kampaní nebo shromažďování informací. Cílem není masivní útok, ale chirurgický průnik, který umožňuje trvalý přístup ke specifickým systémům za účelem krádeže dat, citlivých dokumentů a dalších cenných informací po delší dobu.

Tváří v tvář tomuto typu hrozby, Je nezbytné mít přísná pravidla pro používání PowerShellu. (například omezení na verze s protokolováním skriptů, zakázání nepodepsaného spuštění, povolení protokoly pokročilý a korelovat jeho aktivitu s EDR/SIEM) a proaktivně kontrolovat podezřelé příkazy, skripty a síťová připojení spojená s jeho spuštěním.

Od krádeže přihlašovacích údajů k přímé kontrole zařízení

Před objevením LOSTKEYS a rodiny ROBOTŮCOLDRIVER byl nejvíce známý pro cílené phishingové kampaně namířené proti západním diplomatům, disidentům, zpravodajským pracovníkům a pracovníkům nevládních organizací s cílem získat jejich přihlašovací údaje ke cloudovým službám a e-mailovým účtům.

Zveřejnění zpráv společnosti Google znamenalo zlom: LOSTKEYS prokázal, že skupina se chystá na krok směrem k přímému kompromitování zařízení.Tento malware byl nasazen prostřednictvím přizpůsobených infekčních řetězců, z nichž každý měl své vlastní identifikátory a šifrovací klíče, a měl schopnost krást systémové soubory, dokumenty a další lokální data a také nadále zaznamenávat přihlašovací údaje.

S NOROBOTEM, YESROBOTEM a MAYBEROBOTEM, Tento trend se stává silnějším a sofistikovanějšímMísto pouhého zachycování hesel se COLDRIVER snaží instalovat trvalé implantáty, které mu umožňují operovat v sítích jeho cílů, pohybovat se laterálně, získávat velké objemy informací a přizpůsobovat taktiku na základě obranných mechanismů, se kterými se setká.

Odborníci z oboru poukazují na to, že Krádež přihlašovacích údajů zůstává neustálým rizikemProtože i ta nejsilnější hesla se mohou stát obětí tohoto typu malwaru, zejména pokud uživatelé nepoužívají vícefaktorové ověřování nebo pokud organizace nepřetržitě nesledují ohrožené přihlašovací údaje. Pozornost se však stále více přesouvá k potřebě chránit koncové zařízení i před těmito pokročilými řetězci hesel. Zjistěte více o případových studiích. krádež hesla Pomáhá to pochopit rizika.

Sám Google reagoval přidáním domény a soubory spojené s LOSTKEYS a novými kampaněmi do systémů Bezpečného prohlížení a navíc zasílá přímá upozornění potenciálně dotčeným uživatelům Gmailu a Workspace. Přesto žádné automatizované řešení nenahradí osvědčené bezpečnostní postupy a aktivní monitorování anomálního chování na zařízeních.

Jak se CAPTCHA s nápisem „Nejsem robot“ zneužívá k šíření malwaru

Zlomyslné používání CAPTCHA je jedním z nejnebezpečnějších prvků těchto kampaní.Uživatelé jsou zvyklí vídat ověření „Nejsem robot“ na spoustě legitimních služeb, takže jim mají tendenci důvěřovat téměř bez přemýšlení, zvláště když se zdají být součástí běžného prohlížení webu.

Útočníci s kódem COLDRIVER vytvářejí zdánlivě neškodné webové stránky, s formuláři nebo obsahem, které napodobují důvěryhodné portályPoté přidají falešný CAPTCHA nebo vyskakovací okno s upozorněním na technický problém. Místo jednoduchého kliknutí na políčko může zpráva uživatele vyzvat ke zkopírování příkazu do pole „Spustit“ ve Windows, instalaci údajné aktualizace nebo stažení souboru pro dokončení ověření.

Provedením těchto akcí uživatel nevědomky Spouští skripty, které upravují systémový registr.Plánují úlohy, aby zajistily jejich trvalost, a do počítače zavádějí nové malwarové programy, jako například YESROBOT nebo MAYBEROBOT. Většina tradičních antivirových programů může mít potíže s detekcí těchto hrozeb v reálném čase, zejména pokud se spoléhají na šifrování, zmatkování a používání legitimních nástrojů operačního systému.

Odborníci zdůrazňují, že Tato technika není úplně nová, ale postupem času se zdokonalila.Od klasické CAPTCHA pro řešení matematických problémů nebo výběr obrázků jsme se přesunuli k mnohem věrohodnějším ověřovacím políčkům a postupům. Útočníci jsou docela zběhlí v kopírování vzhledu skutečných systémů, což ztěžuje odlišení legitimního ověření od podvodného.

To vše je součástí širšího trendu, kdy tradiční kampaně, jako je phishing e-mailůNeustále se zlepšují díky automatizačním nástrojům a stále více i díky Umělá inteligenceTo umožňuje vytváření přesvědčivějších zpráv, lépe navržených falešných stránek a propracovanějších útočných sekvencí, což zvyšuje pravděpodobnost, že uživatel naletí na podvod.

Globální dopad a související případy mimo čistě technické prostředí

Aktivity společnosti COLDRIVER se neomezují pouze na čistě digitální oblast.Jakmile byly odhaleny podrobnosti o operacích NOROBOT, YESROBOT a MAYBEROBOT, nizozemské úřady odhalily případ, který ilustruje, jak se tyto operace mohou spoléhat na spolupracovníky v terénu.

Oznámila to nizozemská prokuratura (Openbaar Ministerie, OM). Tři sedmnáctiletí mladíci byli vyšetřováni za poskytování služeb zahraniční vládě.Jeden z nich, údajně v kontaktu se skupinou hackerů napojených na ruskou vládu, měl nařídit dalším dvěma mapování Wi-Fi sítí v různých oblastech Haagu, přičemž informace o této práci měly být předány výměnou za finanční kompenzaci.

Podle OM, Toto mapování sítě by mohlo být použito pro operace digitální špionáže a kybernetické útoky.To spojuje fyzickou aktivitu (shromažďování dat na bezdrátové infrastruktuře) s pokročilými malwarovými kampaněmi připisovanými státním aktérům. Dva z podezřelých byli zatčeni v září 2025, zatímco třetí, jehož role je považována za omezenější, zůstává v domácím vězení.

Nizozemské úřady dodaly, že prozatím Neexistují žádné důkazy o tom, že by podezřelý byl v přímém kontaktu s hackerskou skupinou pod nátlakem.To naznačuje, že spolupráce byla dobrovolná, pravděpodobně motivovaná finančním ziskem. Tento případ je v souladu s trendem outsourcingu některých průzkumných úkolů třetím stranám, čímž se snižuje přímá expozice hlavních operátorů.

Celkově vzato tento scénář potvrzuje, že Státem podporovaná kybernetická špionáž kombinuje pokročilé techniky, sociální inženýrství a fyzickou logistickou podporu.To představuje hrozbu, kterou je velmi obtížné řešit pouze technickými nástroji. Mezinárodní spolupráce a vymáhání práva hrají stejně důležitou roli jako neustálé zlepšování cybersecurity obranný.

Doporučená ochranná opatření pro uživatele a organizace

Přestože se kampaně COLDRIVER zaměřují primárně na cílové skupiny s vysokou hodnotouMnoho používaných útočných vektorů (stránky s falešnými CAPTCHA, škodlivé soubory HTML, zneužití PowerShellu) může postihnout jak domácí uživatele, tak malé firmy. Proto je zásadní implementovat kombinaci osvědčených postupů a technických kontrol.

Z pohledu digitální hygieny, Selský rozum zůstává první linií obranyPokud vás webová stránka, vyskakovací zpráva nebo údajná CAPTCHA požádá o zkopírování a vložení příkazu, instalaci podivného pluginu, stažení souboru nebo přihlášení na web, který nepoznáváte, je moudré být podezřívavý a stránku zavřít. Za normálních okolností legitimní CAPTCHA tyto druhy rušivých akcí nevyžadují.

V korporátním prostředí odborníci doporučují pečlivě sledovat spuštění rundll32.exe a PowerShellublokování podezřelé aktivity a nastavení upozornění na spuštění mimo běžné vzorce. Doporučuje se také filtrovat nebo blokovat, pokud je to možné, HTML přílohy v e-mailech a stránky s detekovanými falešnými CAPTCHA kódy a také průběžně aktualizovat indikátory kompromitace (IOC) související s NOROBOT, YESROBOT a MAYBEROBOT a Povolení funkce SmartScreen ve Windows.

Další důležitou vrstvou je ochrana sítě: Posílení kontroly HTTPS provozu na neznámé C2 serveryPoužívejte dynamické seznamy blokovaných serverů, filtrované DNS a spoléhejte se na nástroje sandboxu, které analyzují chování podezřelých souborů a skriptů před povolením jejich spuštění v produkčním prostředí.

Navíc, jak v domácnostech, tak i ve firmách, Je nezbytné mít dobrý antivirový program nebo bezpečnostní balíček (nejlepší živý antivirus), řádně aktualizované a doplněné automatickými aktualizacemi operačního systému a aplikací. V prostředí Windows poskytují řešení jako Microsoft Defender, Avast, Bitdefender a další renomované alternativy solidní, i když ne neomylný, základ. Neustálé aktualizace pomáhají zmírňovat zranitelnosti, které by útočníci mohli zneužít k získání oprávnění nebo obejití kontrol.

Pokud máte podezření, že jste zadali heslo na podezřelé webové stránce nebo že jste provedli škodlivý příkaz, Jednejte rychle: okamžitě změňte dotčené přihlašovací údajeZkontrolujte známky neobvyklého přístupu, pokud je to možné, povolte vícefaktorové ověřování a zvažte provedení úplné kontroly systému pomocí specializovaných antimalwarových nástrojů. ověřit integritu souboru.

Nedávná historie LOSTKEYS a tři nové ruské malwary od společnosti COLDRIVER To ukazuje, že státem podporované skupiny kybernetické špionáže se neustále vyvíjejí.Když je nástroj zveřejněn a „spálen“, reagují během několika dní novými, modulárnějšími variantami lépe přizpůsobenými současným obranným mechanismům a stále více se spoléhají na klamání prostřednictvím falešných CAPTCHA a inteligentní využití legitimních systémových komponent, aby zůstali nepovšimnuti.