Trei noi programe malware rusești de la COLDRIVER și evoluția lor periculoasă

Grupul rus de ciberspionaj COLDRIVER, cunoscut și în rapoartele de securitate sub numele de Star Blizzard, ColdRiver, Callisto sau UNC4057, a făcut un salt calitativ în metodele sale de atac după ce unul dintre principalele sale instrumente, LOSTKEYS, a fost complet expus de cercetătorii de la GoogleDeparte de a încetini ritmul, grupul a reacționat în câteva zile cu o nouă generație de programe malware concepute pentru a menține operațiunile sale de spionaj la capacitate maximă.

Această schimbare de strategie evidențiază capacitatea de adaptare și ritmul accelerat de dezvoltare de la COLDRIVER. Victimele lor preferate continuă să fie jurnaliști, organizații pentru drepturile omului, ONG-uri, guverne, consilieri politici și alte profiluri de înaltă valoare din Europa și Statele Unite, dar acum accentul nu se mai pune doar pe furtul de acreditări, ci pe preluarea controlului direct asupra computerelor compromise printr-un lanț complex de infecții bazat pe CAPTCHA-uri false și executarea comenzilor PowerShell.

Trei noi programe malware rusești de la COLDRIVER: NOROBOT, YESROBOT și MAYBEROBOT

În urma publicării analizei tehnice a LOSTKEYS de către Google Threat Intelligence Group (GTIG)Operatorii COLDRIVER au avut nevoie de doar cinci zile pentru a implementa trei noi familii de programe malware: NOROBOT, YESROBOT și MAYBEROBOT. Aceste componente nu funcționează izolat, ci formează un lanț de distribuție interconectat care înlocuiește complet LOSTKEYS în arsenalul grupului.

Analiștii Google au descris această familie de „ROBOȚI” ca fiind un set de implanturi corelate care cooperează în diferite faze ale infecțieiNOROBOT acționează ca și componentă inițială instalată pe sistem prin intermediul unui fișier DLL executat cu rundll32.exe; YESROBOT apare ca un backdoor minimal în Python, folosit pe scurt ca soluție temporară; iar MAYBEROBOT este consolidat ca implant principal în PowerShell, mai stabil, discret și flexibil, conceput pentru operațiuni de spionaj prelungite.

COLDRIVER nu se mai concentrează aproape exclusiv pe phishing-ul de acreditări Acum optează pentru programe malware personalizate care le permit să extragă documente, fișiere de sistem și alte informații sensibile direct de pe dispozitivele victimelor. Această schimbare crește impactul potențial al fiecărei intruziuni și complică detectarea, deoarece nu mai este suficient să se monitorizeze conectările suspecte; acum, activitatea anormală PowerShell, rundll32 și traficul HTTPS criptat pentru a ascunde serverele de comandă și control (C2) trebuie monitorizate îndeaproape.

Noile instrumente au fost concepute pentru a fi implementate selectiv. împotriva unor ținte de interes deosebit, adesea identificate anterior prin campanii de phishing sau alte forme de recunoaștere. Obiectivul este clar: să mențină accesul prelungit la dispozitivele lor, să adune informații strategice și să evite sistemele de securitate care au învățat deja să detecteze variante anterioare, cum ar fi LOSTKEYS.

Lanț de infecție bazat pe momeli ClickFix și CAPTCHA-uri false

Una dintre cele mai izbitoare schimbări din operațiunile COLDRIVER Este vorba despre abandonarea treptată a e-mailurilor clasice de tip phishing cu un link sau un atașament malițios în favoarea unei tehnici de inginerie socială cunoscută sub numele de ClickFix. Această tehnică se bazează pe pagini HTML concepute pentru a simula probleme tehnice sau verificări de securitate foarte familiare utilizatorului, cum ar fi tipicul „Nu sunt robot”.

În aceste campanii, victima ajunge la o pagină care afișează un CAPTCHA fals „Nu sunt robot” sau o fereastră pop-up care pare a fi o verificare de rutină. În loc să rezolve un simplu puzzle vizual, utilizatorul este rugat să copieze și să lipească o comandă în caseta de dialog „Executare” din Windows sau într-o consolă PowerShell, crezând că remediază o eroare de verificare. Această comandă este, în realitate, punctul de intrare pentru atac.

Google a denumit momeala HTML inițială drept COPIE LA RECEAcest fișier HTML ClickFix este responsabil pentru instalarea în sistem a unui DLL numit NOROBOT, componentă responsabilă pentru următorul pas din lanțul de infectare. În termeni practici, victima trebuie doar să urmeze instrucțiunile aparent inofensive ale CAPTCHA-ului fals pentru ca NOROBOT să fie instalat și gata de funcționare.

În etapele anterioare, LOSTKEYS a folosit deja o abordare similară cu captcha-uri false.păcălind utilizatorul să execute scripturi PowerShell care inițiau un lanț complex trifazat. În acea versiune mai veche, chiar și rezoluția ecranului era verificată folosind algoritmi de criptare și hashing pentru a împiedica executarea sa în mașini virtuale A fost efectuată o analiză, iar sistemele de criptare prin substituție și scripturile VBScript au fost utilizate pentru a masca sarcina utilă finală.

Cu familia ROBOT, filosofia rămâne aceeași, dar Mecanismul de administrare este rafinat și fiecare etapă a infecției este mai bine modularizată.COLDRIVER valorifică familiaritatea utilizatorilor cu CAPTCHA-urile și mesajele de verificare pentru a crește încrederea, reducând în același timp nevoia de a trimite atașamente suspecte sau link-uri excesiv de evidente. Acest lucru duce la campanii mai greu de detectat atât pentru utilizatori, cât și pentru unele soluții de securitate.

NOROBOT: poartă de acces și verigă cheie în lanț

NOROBOT este componenta care inițiază infecția în sistemele compromiseEste distribuit ca fișier DLL executat de rundll32.exe, un fișier binar Windows legitim pe care atacatorii îl exploatează pentru a-și deghiza activitățile. Funcția sa principală este de a descărca și instala următorul malware din lanț, care poate fi YESROBOT sau, în versiuni mai recente, MAYBEROBOT.

În primele etape ale campaniei, NOROBOT a inclus un pas zgomotos și ușor detectabilDescărcarea și instalarea unei versiuni complete de Python 3.8 pe computerul victimei a fost necesară pentru ca YESROBOT să funcționeze. Această acțiune a generat fișiere suplimentare, modificări vizibile ale sistemului și trafic de rețea care ar putea stârni suspiciuni în rândul analiștilor sau al instrumentelor de securitate.

cu timpulOperatorii COLDRIVER au plecat Reglarea fină a NOROBOT pentru a-l face mai silențios și mai eficientCercetătorii Google subliniază că lanțul de infectare asociat cu această DLL a trecut prin faze de simplificare, cu scopul de a crește șansele de execuție cu succes, înainte de a reintroduce complexitatea în anumite puncte, cum ar fi utilizarea cheilor criptografice divizate și a altor mecanisme de ofuscare care împiedică analiza statică și dinamică.

Dezvoltarea continuă a NOROBOT Acest lucru demonstrează că COLDRIVER nu lansează pur și simplu o versiune și o uită, ci își revizuiește, testează și actualizează constant codul pentru a ocoli noile semnături de detectare, regulile SIEM și analizele euristice. Această rafinare continuă se aliniază cu modelul observat de GTIG: o „rată de operațiuni” crescută, în care iterațiile malware se succed rapid după fiecare scurgere de informații sau raportare publică.

Din punct de vedere defensiv, monitorizează execuțiile suspecte ale rundll32.exe Verificarea încărcării DLL-urilor neobișnuite și monitorizarea conexiunilor de ieșire către domenii sau adrese IP necunoscute sunt esențiale pentru detectarea activității NOROBOT. Rolul său de primă verigă din lanț îl face o țintă prioritară pentru detectarea timpurie.

YESROBOT: backdoor minim și soluție temporară

YESROBOT reprezintă primul răspuns rapid al COLDRIVER În urma dezvăluirii LOSTKEYS, s-a constatat că este vorba de un backdoor foarte simplu, scris în Python. Înregistrările Google indică faptul că acest backdoor a fost implementat doar în câteva cazuri specifice, pe o perioadă de aproximativ două săptămâni la sfârșitul lunii mai, imediat după ce detaliile tehnice ale LOSTKEYS au fost făcute publice.

La nivel funcțional, YESROBOT folosește conexiuni HTTPS la un server de comandă și control (C2) codificat fix pentru a primi instrucțiuni. Deși codul său este relativ simplu, permite descărcarea și executarea de fișiere suplimentare pe sistemul infectat, precum și localizarea și exfiltrarea documentelor considerate valoroase de către atacatori. Este un instrument suficient pentru stabilirea accesului inițial la distanță, dar îi lipsesc capabilitățile avansate ale succesorului său.

Faptul că s-au observat atât de puține infecții cu YESROBOT susține teoria analiștilor: Ar fi fost un „petic” temporar În timp ce grupul finaliza dezvoltarea implantului, aceștia își doreau cu adevărat să utilizeze MAYBEROBOT pe termen lung. De fapt, structura inițială a NOROBOT, care descărcă întregul mediu Python, sugerează un anumit grad de improvizație pentru a umple golul lăsat de LOSTKEYS.

Odată cu apariția MAYBEROBOT și eliminarea necesității unei instalări complete de Python, YESROBOT este practic abandonat de COLDRIVER. Chiar și așa, existența sa confirmă faptul că grupul este dispus să sacrifice eleganța și discreția în favoarea vitezei atunci când este presat de dezvăluirea publică a instrumentelor sale anterioare.

Pentru echipele de securitate, orice urmă de Python care rulează anormal pe mașini unde nu ar trebui utilizat Acest lucru ar trebui să ridice semnale de alarmă, mai ales dacă este combinat cu activitatea de la rundll32 și traficul criptat către servere C2 necunoscute, deoarece ar putea indica o încercare de utilizare a YESROBOT sau a altor instrumente personalizate bazate pe acest limbaj.

MAYBEROBOT: Implant într-un PowerShell mai matur și mai flexibil

MAYBEROBOT este evoluția naturală a arsenalului COLDRIVER Și componenta care, potrivit cercetătorilor, a înlocuit în mod fiabil YESROBOT în cele mai recente campanii. Spre deosebire de predecesorul său Python, acest implant este scris în PowerShell, permițându-i o integrare mai bună cu mediul Windows și reducând nevoia de componente externe evidente.

Acest implant Este conceput pentru a fi extensibil și adaptabil în funcție de nevoile fiecărei operațiuni.Capacitățile sale includ descărcarea și executarea de sarcini utile de la o adresă URL controlată de atacatori și executarea de comenzi arbitrare prin intermediul... cmdfișiere .exe și executarea directă a codului PowerShell suplimentar. Acest lucru permite operatorilor să extindă capacitățile malware-ului aproape în timp real, fără a fi nevoie să reproiecteze întregul implant.

Fiind bazat pe PowerShell, MAYBEROBOT beneficiază de o suprafață de atac foarte comună În ecosistemul Windows, utilizarea scripturilor și a automatizării este comună atât în ​​rândul administratorilor legitimi, cât și al atacatorilor. Această dualitate face dificilă filtrarea strictă, deoarece blocarea completă a PowerShell nu este întotdeauna fezabilă în mediile corporative complexe.

Analizele publicate sugerează că MAYBEROBOTT este rezervat obiectivelor strategiceAceste ținte au fost probabil profilate anterior prin campanii de phishing sau prin colectarea de informații. Scopul nu este un atac masiv, ci o intruziune chirurgicală care permite accesul persistent la sisteme specifice pentru a fura date, documente sensibile și alte informații valoroase pe perioade lungi de timp.

Confruntați cu acest tip de amenințare, Este esențial să existe politici stricte pentru utilizarea PowerShell (de exemplu, limitarea la versiuni cu înregistrare în jurnal a scripturilor, dezactivarea execuției nesemnate, activarea busteni avansat și să coreleze activitatea sa cu EDR/SIEM) și să examineze proactiv comenzile, scripturile și conexiunile de rețea suspecte legate de execuția sa.

De la furtul de acreditări la controlul direct al dispozitivelor

Înainte de apariția LOSTKEYS și a familiei ROBOTCOLDRIVER era cunoscută mai ales pentru campaniile de phishing extrem de bine direcționate împotriva diplomaților occidentali, disidenților, personalului de informații și lucrătorilor ONG-urilor, cu scopul de a le obține datele de autentificare pentru servicii cloud și conturi de e-mail.

Publicarea rapoartelor Google a marcat un punct de cotitură: LOSTKEYS a demonstrat că grupul făcea saltul către compromiterea directă a dispozitivelorAcest malware a fost implementat prin lanțuri de infecție personalizate, fiecare cu propriii identificatori și chei de criptare, și avea capacitatea de a fura fișiere de sistem, documente și alte date locale, precum și de a continua să capteze acreditări.

Cu NOROBOT, YESROBOT și MAYBEROBOT, Această tendință devine din ce în ce mai puternică și mai sofisticatăÎn loc să capteze pur și simplu parole, COLDRIVER încearcă să instaleze implanturi persistente care îi permit să opereze în rețelele țintelor sale, să se miște lateral, să exfiltreze volume mari de informații și să își adapteze tacticile în funcție de apărarea pe care o întâlnește.

Experții din industrie subliniază că Furtul de acreditări rămâne un risc constantDeoarece chiar și cele mai puternice parole pot cădea victime ale acestui tip de malware, mai ales dacă utilizatorii nu utilizează autentificarea multi-factor sau dacă organizațiile nu monitorizează continuu acreditările compromise. Cu toate acestea, accentul se îndreaptă din ce în ce mai mult către necesitatea de a proteja și endpoint-ul împotriva acestor lanțuri avansate de parole. Aflați mai multe despre studiile de caz ale furtul de parole Ajută la înțelegerea riscurilor.

Google însuși a reacționat adăugând domeniile și fișierele asociate cu LOSTKEYS și noile campanii sistemelor sale de Navigare Sigură, pe lângă trimiterea de alerte directe către utilizatorii Gmail și Workspace potențial afectați. Chiar și așa, nicio soluție automată nu înlocuiește bunele practici de securitate și monitorizarea activă a comportamentului anormal pe dispozitive.

Cum sunt exploatate CAPTCHA-urile „Nu sunt un robot” pentru a răspândi programe malware

Utilizarea rău intenționată a CAPTCHA-urilor este unul dintre cele mai periculoase elemente ale acestor campanii.Utilizatorii sunt obișnuiți să vadă verificări de tip „Nu sunt un robot” pe o multitudine de servicii legitime, așa că au tendința să aibă încredere în ele aproape fără să se gândească, mai ales atunci când par să facă parte din experiența normală de navigare.

Atacatorii COLDRIVER construiesc pagini web aparent inofensive, cu formulare sau conținut care imită portaluri de încredereApoi adaugă un CAPTCHA fals sau o fereastră pop-up care avertizează asupra unei probleme tehnice. În loc de un simplu clic pe o casetă, mesajul ar putea instrui utilizatorul să copieze o comandă în caseta „Executare” din Windows, să instaleze o presupusă actualizare sau să descarce un fișier pentru a finaliza verificarea.

Prin efectuarea acestor acțiuni, utilizatorul, fără să știe, Execută scripturi care modifică registrul de sistem.Acestea programează sarcini pentru a asigura persistența și a introduce pe computer noi programe malware, cum ar fi YESROBOT sau MAYBEROBOT. Majoritatea programelor antivirus tradiționale pot întâmpina dificultăți în detectarea acestor amenințări în timp real, mai ales dacă se bazează pe criptare, ofuscare și utilizarea unor instrumente legitime ale sistemului de operare.

Experții subliniază că Această tehnică nu este complet nouă, dar a fost perfecționată în timp.De la clasicul CAPTCHA pentru rezolvarea problemelor de matematică sau selectarea imaginilor, am trecut la casete și fluxuri de verificare mult mai plauzibile. Atacatorii sunt destul de pricepuți la copierea aspectului sistemelor autentice, ceea ce face mai dificilă distingerea unei verificări legitime de una frauduloasă.

Toate acestea fac parte dintr-o tendință mai amplă în care campanii tradiționale, cum ar fi phishing-ul prin e-mailAcestea continuă să se îmbunătățească datorită instrumentelor de automatizare și, din ce în ce mai mult, datorită Inteligență ArtificialăAcest lucru permite crearea unor mesaje mai convingătoare, a unor pagini false mai bine concepute și a unor secvențe de atac mai rafinate, crescând probabilitatea ca utilizatorul să cadă în plasa înșelătoriei.

Impact global și cazuri conexe în afara mediului pur tehnic

Activitatea COLDRIVER nu se limitează la domeniul pur digital.Pe măsură ce detaliile despre NOROBOT, YESROBOT și MAYBEROBOT au fost dezvăluite, autoritățile olandeze au descoperit un caz care ilustrează modul în care aceste operațiuni se pot baza pe colaboratori de la fața locului.

Procuratura Olandeză (Openbaar Ministerie, OM) a anunțat că Trei tineri de 17 ani erau anchetați pentru furnizarea de servicii unui guvern străin.Unul dintre ei, presupus a fi în contact cu un grup de hackeri legați de guvernul rus, i-ar fi îndrumat pe ceilalți doi să cartografieze rețele Wi-Fi în diferite zone din Haga, muncă ale cărei informații ar fi fost predate în schimbul unor compensații financiare.

Potrivit OM, Această cartografiere a rețelei ar putea fi utilizată pentru operațiuni de spionaj digital și atacuri ciberneticeAceasta leagă activitatea fizică (colectarea de date privind infrastructura wireless) de campanii avansate de programe malware atribuite actorilor statali. Doi dintre suspecți au fost arestați în septembrie 2025, în timp ce al treilea, cu un rol considerat mai limitat, rămâne în arest la domiciliu.

Autoritățile olandeze au adăugat că, deocamdată, Nu există dovezi că suspectul a fost presat în contact direct cu grupul de hackeri.Acest lucru sugerează că această colaborare a fost voluntară, probabil motivată de câștig financiar. Acest caz se aliniază cu tendința de externalizare a anumitor sarcini de recunoaștere către terți, reducând expunerea directă a principalilor operatori.

Luate împreună, acest scenariu confirmă că Spionajul cibernetic susținut de stat combină tehnici avansate, inginerie socială și sprijin logistic fizicAceasta reprezintă o amenințare foarte dificil de abordat exclusiv cu instrumente tehnice. Cooperarea internațională și aplicarea legii joacă un rol la fel de important ca îmbunătățirea continuă a securitatea cibernetică defensivă.

Măsuri de protecție recomandate pentru utilizatori și organizații

Deși campaniile COLDRIVER sunt concentrate în principal pe ținte cu valoare ridicatăMulți dintre vectorii de atac utilizați (pagini cu CAPTCHA-uri false, fișiere HTML rău intenționate, abuzuri de PowerShell) pot afecta atât utilizatorii casnici, cât și întreprinderile mici. Prin urmare, este crucial să se implementeze o combinație de bune practici și controale tehnice.

Din perspectiva igienei digitale, Bunul simț rămâne prima linie de apărareDacă un site web, un mesaj pop-up sau un presupus CAPTCHA vă cere să copiați și să lipiți o comandă, să instalați un plugin ciudat, să descărcați un fișier sau să vă conectați la un site pe care nu îl recunoașteți, este înțelept să fiți suspicios și să închideți pagina. În circumstanțe normale, CAPTCHA-urile legitime nu necesită astfel de acțiuni intruzive.

În mediul corporativ, specialiștii recomandă monitorizați îndeaproape execuția rundll32.exe și PowerShellblocarea activităților suspecte și configurarea alertelor pentru execuții în afara tiparelor normale. De asemenea, este recomandabil să filtrați sau să blocați, atunci când este posibil, atașamentele HTML din e-mailuri și pagini cu CAPTCHA-uri false detectate, precum și actualizarea continuă a indicatorilor de compromitere (IOC) legați de NOROBOT, YESROBOT și MAYBEROBOT și Activarea SmartScreen în Windows.

Un alt nivel important este protecția rețelei: Consolidarea inspecției traficului HTTPS către servere C2 necunoscuteAplicați liste de blocare dinamice, utilizați DNS filtrat și bazați-vă pe instrumente de tip sandboxing pentru a analiza comportamentul fișierelor și scripturilor suspecte înainte de a permite execuția lor în medii de producție.

În plus, atât în ​​locuințe, cât și în firme, Este esențial să ai un antivirus sau o suită de securitate bună (cel mai bun antivirus live), actualizate corespunzător și completate cu actualizări automate ale sistemului de operare și ale aplicațiilor. În mediul Windows, soluții precum Microsoft Defender, Avast, Bitdefender și alte alternative reputate oferă o bază solidă, deși nu infailibilă. Actualizările constante ajută la atenuarea vulnerabilităților pe care atacatorii le-ar putea exploata pentru a obține privilegii sau a ocoli controalele.

Dacă bănuiți că ați introdus parola pe un site web suspect sau că ați executat o comandă rău intenționată, Acționați rapid: schimbați imediat acreditările afectateVerificați dacă există semne de acces neobișnuit, activați autentificarea multi-factor acolo unde este posibil și luați în considerare efectuarea unei scanări complete a sistemului cu instrumente anti-malware specializate. verifica integritatea fișierului.

Istoria recentă a LOSTKEYS și a celor trei noi programe malware rusești de la COLDRIVER Acest lucru demonstrează că grupurile de spionaj cibernetic susținute de stat sunt în continuă evoluție.Când un instrument este făcut public și este „ars”, aceștia reacționează în câteva zile cu variante noi, mai modulare, mai bine adaptate apărărilor actuale, bazându-se din ce în ce mai mult pe înșelăciune prin CAPTCHA-uri false și utilizarea inteligentă a componentelor legitime ale sistemului pentru a trece neobservate.