Új, rafinált kártevők nyugati célpontok ellen
A Star Blizzard csoport korábban a LostKeys nevű kártevőt alkalmazta, de kevesebb mint egy héttel annak nyilvánosságra hozatala után máris új, agresszívebb eszközöket vetett be. Ezeket – NOROBOT, YESROBOT és MAYBEROBOT – főként kormányzati szervek, újságírók, agytrösztök és civil szervezetek ellen használják nyugat-európai országokban. A cél az adatszerzés, főleg a rendszeresen letöltött bővítményeket figyelik, és bizalmas adatokat szivárogtatnak ki a fertőzött gépekről.
Ravasz terjesztési módszerek
A hackerek hamis CAPTCHA-oldalakon keresztül próbálják rávenni az áldozatokat, hogy futtassák le a kártevő DLL-t, azt színlelve, hogy ez csak az emberi jelenlét ellenőrzésének a része. A NOROBOT nevű káros programot folyamatosan fejlesztik, májustól szeptemberig több alkalommal frissítették. Tavasszal még egy teljes, 27,5 kg(!) Python-telepítést is letöltött a kártékony folyamat, ám ezt a feltűnő megoldást hamar elhagyták, mert könnyen kiszúrható volt. Helyette a PowerShell-alapú MAYBEROBOT backdoor lett a fő támadási eszköz, amely háromféle távoli parancsot is képes végrehajtani az áldozat gépén, akár további vírusokat is letöltve.
Összetett, szinte követhetetlen fertőzési láncok
A támadási láncok egyre bonyolultabbak: az újabb NOROBOT-változatok már titkosítási kulcsokat is több összetevő között osztanak szét, így csak a teljes fertőzési folyamat során lehet visszafejteni a végső, veszélyes kódot. Ez megnehezíti a kutatók munkáját és a kártevő visszafejtését.
Orosz titkosszolgálat a háttérben
A ColdRiver csoport már legalább 2017 óta folytat kiberműveleteket, elsősorban az orosz titkosszolgálat (FSZB) megbízásából. Főként adathalász levelekben terjesztik kártevőiket, de egyre gyakrabban alkalmazzák a most bemutatott ClickFix típusú támadásokat is, hogy olyan célpontokat is újra megfertőzzenek, ahol már korábban megszerezték az e-maileket és a névjegyzéket, hogy még értékesebb információkhoz jussanak. A védekezéshez a Google közzétette a legújabb felismerési szabályokat és mutatókat, de a Star Blizzard továbbra is aktív és egyre agyafúrtabb.
