Пријави инцидент
Пријави инцидент
Преглед на приватноста

Оваа веб-страница користи колачиња за да ви обезбеди најдобро можно корисничко искуство. Информациите за колачињата се складираат во вашиот прелистувач и извршуваат функции како препознавање кога се враќате на нашата веб-страница и им помагаат на нашите програмери да разберат кои делови од веб-страницата ви се најинтересни и најкорисни.

Строго неопходни колачиња

Строго неопходните колачиња треба да бидат овозможени во секое време за да можеме да ги зачуваме вашите поставки за колачиња.

Powered by  GDPR Cookie Compliance

Google идентификуваше три нови руски семејства на малициозен софтвер создадени од хакерите на COLDRIVER

Објавено: 21.10.2025

Нов малициозен софтвер поврзан со руската хакерска група позната како COLDRIVER поминал низ бројни развојни итерации од мај 2025 година, што укажува на зголемена „оперативна активност“ од страна на оваа група заканувачи.

Овие наоди потекнуваат од Google Threat Intelligence Group (GTIG), која изјави дека државно спонзорираната хакерска група брзо го усовршила и прилагодила својот арсенал на малициозен софтвер само пет дена по објавувањето на нивниот LOSTKEYS малициозен софтвер во истото време.

Иако сè уште не е познато колку долго новите семејства на малициозен софтвер се во развој, тимот за закани на Гугл изјави дека не забележале ниту еден примерок на LOSTKEYS откако беше откриен.

Новиот малициозен софтвер, со кодни имиња NOROBOT, YESROBOT и MAYBEROBOT, претставува „збирка на поврзани семејства на малициозен софтвер кои се поврзани преку синџир на испорака,“ изјави истражувачот на GTIG, Весли Шилдс, во анализа објавена во понеделникот.

Најновите бранови на напади претставуваат отстапување од типичниот начин на работа на COLDRIVER, кој обично вклучува таргетирање на високи поединци во невладини организации, политички советници и дисиденти со цел кражба на ингеренции за пристап. Наместо тоа, новата активност се фокусира на користење на ClickFix-тип мамки за да ги натера корисниците да извршат малициозни PowerShell команди преку Windows Run дијалог прозорец како дел од лажна CAPTCHA проверка.

Додека нападите забележани во јануари, март и април 2025 година довеле до инсталирање на шпионски малициозен софтвер познат како LOSTKEYS, подоцнежните упади го отворија патот за семејството на малициозен софтвер наречено ROBOT. Забележително е дека семејствата NOROBOT и MAYBEROBOT се следат од Zscaler ThreatLabz под имињата BAITSWITCH и SIMPLEFIX, соодветно.

Новиот синџир на инфекција започнува со HTML ClickFix мамка наречена COLDCOPY, која е дизајнирана да испушти DLL датотека наречена NOROBOT, која потоа се извршува преку rundll32.exe за да го испушти следниот стадиум на малициозниот софтвер. Почетните верзии на овој напад дистрибуирале Python „backdoor“ наречен YESROBOT, пред хакерите да преминат на PowerShell имплант наречен MAYBEROBOT.

YESROBOT користи HTTPS за да презема команди од однапред зададен C2 (command-and-control) сервер. Тоа е минимален „backdoor“ кој може да презема и извршува датотеки, како и да собира документи од интерес. Досега се забележани само два случаи на негово користење, конкретно во период од две недели кон крајот на мај, веднаш по објавувањето на информациите за LOSTKEYS.

Наместо тоа, се оценува дека MAYBEROBOT е пофлексибилен и поекстензибилен, опремен со функции за симнување и извршување на payload од одреден URL, извршување команди преку cmd.exe, и извршување PowerShell код.

Се верува дека актерите од COLDRIVER брзо го распоредиле YESROBOT како „привремен механизам“ најверојатно во одговор на јавното откритие, пред да го напуштат во корист на MAYBEROBOT, бидејќи најраното издание на NOROBOT исто така вклучувало чекор за симнување целосна инсталација на Python 3.8 на компромитираниот уред — „шумен“ артефакт што неизбежно ќе предизвика сомнеж.

Гугл исто така укажа дека употребата на NOROBOT и MAYBEROBOT најверојатно е резервирана за значајни цели, кои можеби веќе биле компромитирани преку фишинг, со крајна цел собирање дополнителни разузнавачки податоци од нивните уреди.

NOROBOT и неговиот претходник во синџирот на инфекција биле предмет на постојан развој — првично поедноставени за да се зголемат шансите за успешна примена, пред повторно да се воведе сложеност преку раздвојување на криптографските клучеви,“ изјави Шилдс. „Овој постојан развој ги нагласува напорите на групата да ги заобиколат детекциските системи за нивниот механизам на испорака за континуирано собирање разузнавачки податоци од високо-важни цели.“

Ова откритие доаѓа откако Јавното обвинителство на Холандија (Openbaar Ministerie – OM) објави дека тројца 17-годишни момчиња се осомничени дека обезбедувале услуги за странска влада, при што еден од нив наводно бил во контакт со хакерска група поврзана со руската влада.

„Овој осомничен им дал инструкции на другите двајца да мапираат Wi-Fi мрежи во повеќе наврати во Хаг,“ соопшти OM. „Собраните информации биле споделени со клиентот од страна на првиот осомничен за надомест, и можат да се користат за дигитална шпионажа и сајбер напади.“

Двајца од осомничените биле уапсени на 22 септември 2025 година, додека третиот, кој исто така бил испрашан од властите, е ставен во домашен притвор поради неговата „ограничена улога“ во случајот.

„Досега нема индикации дека бил извршен притисок врз осомничениот кој бил во контакт со хакерската група поврзана со руската влада,“ додаде холандското државно тело.

Извори:

  • The Hacker News – „Google Identifies Three New Russian Malware Families Created by COLDRIVER Hackers“ .The Hacker News