ColdRiver пушта нов малициозен софтвер врз целите

Најновата сајбер-шпионска кампања на хакерската група поддржана од Русија претставува класичен пример за тоа колку брзо софистицираните хакерски групи можат да се прилагодат кога ќе бидат откриени.

Широка сајбер-шпионска кампања насочена кон влади на НАТО, поранешни дипломати и познати личности од НВО секторот е класичен пример за тоа колку брзо елитните хакерски групи можат да ги прилагодат своите операции кога ќе бидат откриени.

Во мај оваа година, Google Threat Intelligence Group (GTIG) објави детали за LOSTKEYS, софистицирана малициозна платформа поврзана со руската државно поддржана група ColdRiver. Само пет дена по објавувањето, ColdRiver го отфрли LOSTKEYS и воведе сосема нов сет алатки во кампања што истражувачот на GTIG, Весли Шилдс, оваа недела ја опиша како најагресивната кампања на групата досега.

„[Новиот малициозен софтвер] поминал низ повеќе итерации од неговото откритие, што укажува на брзо зголемување на развојниот и оперативниот интензитет од страна на ColdRiver,“ изјави Шилдс во новообјавениот извештај за нападите. „Не е јасно колку долго ColdRiver го развивал овој малициозен софтвер, но GTIG не забележал ниту еден примерок на LOSTKEYS откако беше објавен.“

ColdRiver, позната и како UNC4057, Star Blizzard и Callisto, е напредна постојана закана поврзана со Русија, активна најмалку од 2017 година. Првично, групата користела фишинг и кражба на ингеренции за пристап како метод за добивање почетен пристап до таргетирани средини. Сепак, во последно време, актерот на закана преминал на користење на лесен малициозен софтвер преку ClickFix CAPTCHA-тип мамка („потврди дека си човек“) која ги лажи корисниците да извршат малициозна датотека која потоа ја активира процесот на инфекција.

Иако групата покажала способност постојано да ги усовршува своите тактики, таа исто така претрпела повторувачки пропусти во оперативната безбедност, што им овозможило на истражувачите да ја следат нејзината инфраструктура и домени и да ги нарушат нејзините кампањи.

Новиот алатник на групата се врти околу иницијален програм за симнување на малициозен софтвер што GTIG го нарече NOROBOT. GTIG откри дека напаѓачите користеле лажна CAPTCHA-мамка за да ги измамат целите да извршат малициозна датотека маскирана како безбедносна проверка. Откако ќе се инсталира на системот, NOROBOT комуницира со однапред зададен command-and-control (C2) сервер, презема payload за следниот стадиум и го подготвува системот за долгорочна контрола.

Во последните напади, GTIG забележа дека ColdRiver користел верзија на NOROBOT која ја дели својата криптографска клучна вредност на повеќе делови, кои потоа мора правилно да се преклопат за да се отклучи малициозниот софтвер. Целта: да им се отежни на аналитичарите разбирањето на процесот на инфекција.

Почетно, напаѓачите користеле NOFOBOT за да го симнат YESROBOT, Python-базиран backdoor дизајниран да им обезбеди на напаѓачите целосна контрола над компромитираните системи. Иако технички функционален, YESROBOT барал целосно Python 3.8 окружување за да работи, што го правело незграпен за напаѓачите и релативно лесен за бранителите да го забележат.

Актерот на закана брзо го отфрли тој backdoor и од јуни користи NOROBOT за да симнува PowerShell-базиран backdoor кој истражувачите на GTIG го следат како MAYBEROBOT. Неговата цел е да им обезбеди на актерите од ColdRiver лесен, постојан далечински контролен пристап до компромитиран систем за да можат да извршуваат команди, да симнуваат и извршуваат дополнителни payload-ови и да ги праќаат резултатите назад на нивниот команден сервер.

Брзо еволуирачка рамка за сајбер-шпионажа

Според GTIG, континуираното доработување на NOROBOT и синџирот на инфекција од страна на ColdRiver укажува на нивните способности за развој на малициозен софтвер и нивната агилност. Откако го лансираа новиот малициозен софтвер, групата наизменично ја поедноставувала синџирот на инфекција за да ја зголеми стапката на успех, а потоа повторно воведувала сложеност за да го отежне откривањето. Како резултат, се создаде брзо еволуирачка шпионска рамка дизајнирана да биде чекор пред бранителите додека одржува постојан пристап до високовредни цели, изјави Шилдс.

„GTIG забележа повеќе верзии на NOROBOT со различни степени на поедноставеност,“ напиша истражувачот. „Специфичните промени направени помеѓу варијантите на NOROBOT ја истакнуваат упорната работа на групата да ги заобиколи детекциските системи додека продолжува со собирањето разузнавачки податоци од високовредни цели.“

Откриј и блокирај

Истражувачите на GTIG не успеале точно да утврдат зошто ColdRiver можеби преминал од фишинг и кражба на ингеренции кон распоредување на малициозен софтвер. Една теорија е дека тие го користат малициозниот софтвер за да соберат дополнителни информации од системи кои можеби веќе биле компромитирани преку фишинг и кражба на ингеренции.

За тимовите за корпоративна безбедност, тековната кампања на ColdRiver е потсетник колку брзо противниците можат да се прилагодат, да развијат нови алатки и да продолжат токму таму каде што застанале по јавното откривање. Тоа исто така покажува дека напредните актери на закана често имаат резервни алатници или можат брзо да развијат нови кога е потребно.

Google објави индикатори на компромитирање и YARA правила кои организациите можат да ги користат за да ја откријат и блокираат активноста поврзана со најновата сајбер-кампања на ColdRiver.

Извори:

• Dark Reading – „ColdRiver Drops Fresh Malware on Targets“ .Dark Reading