Rus devlet destekli Star Blizzard hacker grubu, ClickFix sosyal mühendislik saldırılarıyla başlayan karmaşık dağıtım zincirlerinde konuşlandırılan yeni, sürekli gelişen kötü amaçlı yazılım aileleri (NoRobot, MaybeRobot) ile faaliyetlerini hızlandırdı.
ColdRiver, UNC4057 ve Callisto olarak da bilinen Star Blizzard tehdit grubu, araştırmacıların analizlerini yayınlamasından bir haftadan kısa bir süre sonra LostKeys kötü amaçlı yazılımını terk etti ve *Robot kötü amaçlı araçlarından önceki kampanyalarından "daha agresif" bir şekilde yararlandı.
Mayıs ayında yayınlanan bir raporda Google Tehdit İstihbarat Grubu (GTIG), LostKeys kötü amaçlı yazılımının Batılı hükümetlere, gazetecilere, düşünce kuruluşlarına ve sivil toplum kuruluşlarına yönelik saldırılarda kullanıldığını gözlemlediğini söyledi.
Kötü amaçlı yazılım casusluk amacıyla kullanıldı; yetenekleri, sabit kodlanmış bir uzantı ve dizin listesine dayalı olarak veri sızdırma dahil.
LostKeys kötü amaçlı yazılımını kamuya açıkladıktan sonra GTIG araştırmacıları, ColdRiver'ın onu tamamen terk ettiğini ve yalnızca beş gün sonra NOROBOT, YESROBOT ve MAYBEROBOT olarak takip edilen yeni kötü amaçlı araçları faaliyete geçirmeye başladığını söylüyor.
GTIG'ye göre, yeniden yapılandırma, hedefi bir doğrulama işlemi kisvesi altında rundll32 aracılığıyla çalıştırması için kandıran sahte CAPTCHA sayfalarını içeren "ClickFix" saldırıları yoluyla gönderilen kötü amaçlı bir DLL olan NOROBOT ile başladı.
Bilgisayar korsanları, NOROBOt kötü amaçlı yazılımını başlatan bir komutu çalıştırarak hedefi kandırarak insan olduklarını kanıtlamak için "Ben robot değilim" captcha sorgulaması gerçekleştirmesini sağlamaya çalışır.
Bulut güvenlik şirketi Zscaler'deki araştırmacılar Eylül ayında NOROBOT'u analiz etti ve ona SIMPLEFIX adını verdikleri bir arka kapı olan yüküyle birlikte BAITSWITCH adını verdi.
Google, NOROBOT'un Mayıs ayından Eylül ayına kadar sürekli olarak geliştirildiğini söylüyor.
NOROBOT, kayıt defteri değişiklikleri ve zamanlanmış görevlerle kalıcılık kazandı ve başlangıçta YESROBOT Python tabanlı arka kapıya hazırlık amacıyla Windows için tam Python 3.8 kurulumunu aldı.
Bununla birlikte GTIG, YESROBOT'un kullanımının kısa ömürlü olduğunu, bunun nedeninin muhtemelen Python kurulumunun dikkat çekecek bariz bir yapı olması olduğunu, ColdRiver'ın onu başka bir arka kapı olan MAYBEROBOT (Zscaler tarafından SIMPLEFIX olarak tanımlanır) adlı bir PowerShell komut dosyası için terk ettiğini belirtiyor.
Haziran ayının başından bu yana, NOROBOT'un "büyük ölçüde basitleştirilmiş" bir sürümü, üç komutu destekleyen MAYBEROBOT'u sunmaya başladı:
Yürütmenin ardından MAYBEROBOT, sonuçları farklı komut ve kontrol (C2) yollarına göndererek Coldriver'a operasyonel başarı hakkında geri bildirim sağlar.
Google analistleri, MAYBEROBOT'un gelişiminin istikrar kazandığını, tehdit aktörlerinin artık NOROBOT'u daha gizli ve daha etkili olacak şekilde geliştirmeye odaklandığını söylüyor.
Araştırmacılar, karmaşıktan daha basite ve ardından kriptografik anahtarları birden fazla bileşene bölen karmaşık bir dağıtım zincirine doğru bir geçiş olduğunu fark ettiler. Araştırmacılar, son yükün şifresinin çözülmesinin parçaların doğru bir şekilde birleştirilmesine bağlı olduğunu söylüyor.
GTIG raporda, "Bu muhtemelen enfeksiyon zincirinin yeniden yapılandırılmasını zorlaştırmak için yapıldı çünkü indirilen bileşenlerden biri eksik olsaydı, son yükün şifresi düzgün bir şekilde çözülemezdi."
NOROBOT'u ve ardından gelen yükleri ilgili hedeflere ileten ColdRiver saldırıları, Haziran ve Eylül ayları arasındaki saldırılarda gözlemlenmiştir.
ColdRiver operasyonları Rus istihbarat servisine (FSB) atfedildi. Grup, en az 2017'den beri siber casusluk faaliyetlerinde bulunuyor. Altyapı kesintileri [1, 2], yaptırımlar ve taktiklerini ifşa etme yoluyla faaliyetlerini engelleme çabalarına rağmen, ColdRiver aktif ve gelişen bir tehdit olmaya devam ediyor.
Tipik olarak, tehdit grubu kimlik avı saldırılarında kötü amaçlı yazılım kullanıyor ve araştırmacılar, bilgisayar korsanlarının ClickFix saldırılarına yönelmelerinin nedenini henüz bulamadılar.
Bunun bir açıklaması, ColdRiver'ın artık NOROBOT ve MAYBEROBOT kötü amaçlı yazılım ailelerini daha önce kimlik avı yoluyla ele geçirilen hedefler üzerinde kullanması ve halihazırda e-postaları ve kişileri çalmış olması olabilir. Araştırmacılar, onları yeniden hedeflemenin "doğrudan cihazlarındaki bilgilerden ek istihbarat değeri elde etmek" olabileceğini düşünüyor
Google'ın raporu, savunucuların Robot kötü amaçlı yazılım saldırılarını tespit etmesine yardımcı olmak için güvenlik ihlali göstergelerini (IoC'ler) ve YARA kurallarını listeliyor.
Ortamların %46'sında şifreler kırıldı; bu oran geçen yılki %25'ten neredeyse iki katına çıktı.
Önleme, tespit ve veri hırsızlığı eğilimlerine ilişkin daha fazla bulguya kapsamlı bir bakış için Picus Blue Report 2025'i hemen edinin.
Çinli bilgisayar korsanları coğrafi haritalama aracını yıl boyu kalıcılık için kötüye kullanıyor
Curly COMrades siber casusları özel kötü amaçlı yazılımlarla devlet kuruluşlarını vuruyor
Yeni Android kötü amaçlı yazılımı Rus istihbarat teşkilatından antivirüs görevi görüyor
Vidar Stealer 2.0, çok iş parçacıklı veri hırsızlığı ve daha iyi veri kaçırma özelliği sunuyor
Kendi kendine yayılan GlassWorm kötü amaçlı yazılımı OpenVSX ve VS Code kayıt defterlerine saldırıyor
Kaynak: Bleeping Computer