Az orosz hackerek trükkös MI-csapdákkal vadásznak Nyugatra

Az orosz állam támogatásával működő Star Blizzard hackercsoport (más néven ColdRiver, UNC4057 vagy Callisto) jelentősen fokozta tevékenységét. Új, folyamatosan fejlődő rosszindulatú programokat (NoRobot, MaybeRobot) vet be, amelyek összetett támadási láncai szociális manipulációval kezdődnek, például hamis „Nem vagyok robot” CAPTCHA-oldalakkal. Ez a módszer arra készteti az áldozatokat, hogy egy ellenőrzésnek hitt folyamat során maguk futtassák le a kártevőket.

Új, rafinált kártevők nyugati célpontok ellen

A Star Blizzard csoport korábban a LostKeys nevű kártevőt alkalmazta, de kevesebb mint egy héttel annak nyilvánosságra hozatala után máris új, agresszívebb eszközöket vetett be. Ezeket – NOROBOT, YESROBOT és MAYBEROBOT – főként kormányzati szervek, újságírók, agytrösztök és civil szervezetek ellen használják nyugat-európai országokban. A cél az adatszerzés, főleg a rendszeresen letöltött bővítményeket figyelik, és bizalmas adatokat szivárogtatnak ki a fertőzött gépekről.

Ravasz terjesztési módszerek

A hackerek hamis CAPTCHA-oldalakon keresztül próbálják rávenni az áldozatokat, hogy futtassák le a kártevő DLL-t, azt színlelve, hogy ez csak az emberi jelenlét ellenőrzésének a része. A NOROBOT nevű káros programot folyamatosan fejlesztik, májustól szeptemberig több alkalommal frissítették. Tavasszal még egy teljes, 27,5 kg(!) Python-telepítést is letöltött a kártékony folyamat, ám ezt a feltűnő megoldást hamar elhagyták, mert könnyen kiszúrható volt. Helyette a PowerShell-alapú MAYBEROBOT backdoor lett a fő támadási eszköz, amely háromféle távoli parancsot is képes végrehajtani az áldozat gépén, akár további vírusokat is letöltve.

Összetett, szinte követhetetlen fertőzési láncok

A támadási láncok egyre bonyolultabbak: az újabb NOROBOT-változatok már titkosítási kulcsokat is több összetevő között osztanak szét, így csak a teljes fertőzési folyamat során lehet visszafejteni a végső, veszélyes kódot. Ez megnehezíti a kutatók munkáját és a kártevő visszafejtését.

Orosz titkosszolgálat a háttérben

A ColdRiver csoport már legalább 2017 óta folytat kiberműveleteket, elsősorban az orosz titkosszolgálat (FSZB) megbízásából. Főként adathalász levelekben terjesztik kártevőiket, de egyre gyakrabban alkalmazzák a most bemutatott ClickFix típusú támadásokat is, hogy olyan célpontokat is újra megfertőzzenek, ahol már korábban megszerezték az e-maileket és a névjegyzéket, hogy még értékesebb információkhoz jussanak. A védekezéshez a Google közzétette a legújabb felismerési szabályokat és mutatókat, de a Star Blizzard továbbra is aktív és egyre agyafúrtabb.

2025, adrienne, www.bleepingcomputer.com alapján