Компания Google в новом исследовании обнаружила, что связанная с российскими спецслужбами хакерская группа Coldriver обновила набор инструментов кибершпионажа, разработав три новых штамма вредоносного программного обеспечения, предназначенных для замены ранее выявленного инструмента LostKeys. Источник: The Record
В опубликованном во вторник отчете группа по анализу угроз Google сообщает, что операторы, которых также называют Star Blizzard, Callisto и UNC4057, начали развертывание новых вредоносных модулей всего через пять дней после того, как в мае этого года специалистами компании была раскрыта деятельность LostKeys. С тех пор использования LostKeys Google больше не фиксировала, однако наблюдала более активное и «более агрессивное, чем любые предыдущие кампании», развертывание новых инструментов, отмечают эксперты.
Новые образцы получили названия NOROBOT, YESROBOT и MAYBEROBOT. По данным Google, цепочка атак строится следующим образом: злоумышленники доставляют вредоносный файл NOROBOT через поддельную страницу с капчей — прием, уже применявшийся в операциях LostKeys. Первоначальная полезная нагрузка устанавливает бэкдор YESROBOT, который затем заменяется более продвинутой версией MAYBEROBOT. Эти инструменты разработаны для уклонения от обнаружения и кражи информации у особенно ценных целей.
В отчете подчёркивается, что пока неясно, почему группировка переключается на специализированное вредоносное ПО вместо широко применяемых методов фишинга учётных данных. Одна из версий, которую называет Google, состоит в том, что Coldriver стремится использовать фишинг для компрометации целей, а затем применять вредоносное ПО для извлечения дополнительных данных непосредственно с их устройств.
Исследователи Google считают, что по мере дальнейшего развития и развертывания этой цепочки Coldriver будет продолжать «агрессивные операции против особо важных целей» с целью сбора разведывательной информации.
Группа Coldriver, действующая по крайней мере с 2022 года, по оценкам исследователей, работает под руководством российских спецслужб. Ранее ей приписывали шпионаж в отношении правозащитных организаций, независимых СМИ и гражданских объединений в Восточной Европе и США. До настоящего времени Coldriver обычно крала учетные данные для доступа к электронной почте и другим системам жертв, а также использовала такие инструменты, как вредоносное ПО Spica, для атак на конкретных лиц и извлечения документов из взломанных систем.
Ранее Microsoft обнаружила новое оружие в арсенале российских хакеров — вредоносное ПО GooseEgg, которое используется исключительно группой, известной как «Forest Blizzard», тесно связанной с ГРУ.
Только главные новости в нашем Telegram, Facebook и GoogleNews!
Tweet