Ruská hackerská skupina Star Blizzard, podporovaná státem, zintenzivnila své operace s novými, neustále se vyvíjejícími rodinami malwaru (NoRobot, MaybeRobot), které nasazuje prostřednictvím komplexních distribučních řetězců začínajících útoky sociálního inženýrství ClickFix.
Skupina známá také jako ColdRiver, UNC4057 a Callisto opustila malware LostKeys méně než týden poté, co výzkumníci zveřejnili jeho analýzu, a začala využívat škodlivé nástroje *Robot „agresivněji“ než v kterékoli ze svých předchozích kampaní.
V květnové zprávě Google Threat Intelligence Group (GTIG) uvedla, že zaznamenala využití malwaru LostKeys při útocích na západní vlády, novináře, think-tanky a nevládní organizace.
Malware byl používán pro špionážní účely, jeho schopnosti zahrnovaly exfiltraci dat na základě pevně zakódovaného seznamu přípon a adresářů.
Rychlá změna taktiky
Po veřejném odhalení malwaru LostKeys výzkumníci GTIG uvádějí, že ColdRiver jej zcela opustil a začal nasazovat nové škodlivé nástroje sledované jako NOROBOT, YESROBOT a MAYBEROBOT v operacích již pět dní poté.
Podle GTIG začalo přezbrojení s NOROBOT, škodlivou DLL dodávanou prostřednictvím útoků „ClickFix“ zahrnujících falešné CAPTCHA stránky, které oklamaly cíl k jeho spuštění přes rundll32 pod záminkou ověřovacího procesu.
Hackeři se snaží přimět cíl k provedení výzvy „Nejsem robot“ k prokázání, že je člověk, spuštěním příkazu, který aktivuje malware NOROBOT.
Zpráva uvádí, že NOROBOT byl pod neustálým vývojem od května do září.
Technické detaily
NOROBOT získává perzistenci prostřednictvím úprav registru a naplánovaných úloh a zpočátku stahoval kompletní instalaci Python 3.8 pro Windows v přípravě na backdoor YESROBOT založený na Pythonu.
GTIG však poznamenává, že použití YESROBOT bylo krátkodobé, pravděpodobně proto, že instalace Pythonu byla zřejmým artefaktem, který by přitáhl pozornost, protože ColdRiver jej opustil pro jiný backdoor, PowerShell skript nazvaný MAYBEROBOT.
Od začátku června začala „drasticky zjednodušená“ verze NOROBOT dodávat MAYBEROBOT, který podporuje tři příkazy:
- stažení a spuštění payloadů ze zadané URL
- spuštění příkazů prostřednictvím příkazového řádku
- spuštění libovolných PowerShell bloků
Po spuštění MAYBEROBOT vrací výsledky na odlišné cesty command-and-control (C2), což poskytuje Coldriver zpětnou vazbu o operačním úspěchu.
Pokračující hrozba
Analytici komentují, že vývoj MAYBEROBOT se zdá být stabilizovaný, přičemž aktéři hrozeb se nyní více zaměřují na zdokonalování NOROBOT, aby byl nenápadnější a efektivnější.
Operace ColdRiver byly připsány ruské zpravodajské službě (FSB). Skupina se zabývá kybernetickou špionáží nejméně od roku 2017. Navzdory snahám narušit její operace prostřednictvím narušení infrastruktury, sankcí a odhalení jejích taktik zůstává ColdRiver aktivní a vyvíjející se hrozbou.
Zpráva obsahuje indikátory kompromitace (IoC) a pravidla YARA, která pomáhají obráncům detekovat útoky malwaru Robot.
Zdroj: bleepingcomputer.com
Zdroj: IT SECURITY NETWORK NEWS
