Najnovija COLDRIVER prijetnja: LOSTKEYS

AUTOR ·

U oblasti sajber prijetnji, LOSTKEYS je više od samo još jednog zlonamjernog alata u arsenalu COLDRIVER zlonamjernih aktera. To predstavlja stratešku eskalaciju u njihovim naporima da prikupe obavještajne podatke, izvuku metapodatke sistema i poremete kritičnu infrastrukturu precizno i prikriveno, pokazuje otkriće Google grupe za obavještajne prijetnje (eng. Google Threat Intelligence Group – GTIG).

LOSTKEYS

Najnovija COLDRIVER prijetnja: LOSTKEYS; Source: Bing Image Creator

LOSTKEYS ZLONAMJERNI SOFTVER

Kao što je već rečeno, Google grupa za obavještajne prijetnje (GTIG) otkrila je novu kampanju zlonamjernog softvera koju je orkestrirao ruski državni akter prijetnji COLDRIVER, poznat po svojim phishing napadima na podatke za prijavu visokoprofilnih ciljeva.

Pojava ove nove kampanje zlonamjernog softvera označava značajnu evoluciju u ofanzivnim sajber sposobnostima grupe. Nova varijanta zlonamjernog softvera koju koristi COLDRIVER naziva se LOSTKEYS, a primijećena je njegova upotreba od januara 2025. godine. Ovaj zlonamjerni softver cilja širok spektar visokoprofilnih entiteta, uključujući vlade NATO saveza, nevladine organizacije, bivše diplomate i pojedince povezane sa zapadnim vojnim i političkim krugovima.

Upotreba LOSTKEYS zlonamjernog softvera označava odstupanje od tradicionalnih phishing taktika grupe, što ukazuje na povećanu sofisticiranost njihovih sajber sposobnosti. Činjenica da je ovaj novi zlonamjerni softver primijećen u aktivnim primjenama tokom više mjeseci (januar, mart i april 2025. godine) ukazuje na koordinisane napore COLDRIVER zlonamjernih aktera da prošire svoj domet i uticaj.

 

Početni vektor

U današnjem digitalnom okruženju, društveni inženjering ostaje moćno oruđe u arsenalu zlonamjernih aktera. Lažna CAPTCHA internet stranica se koristi kao početni mamac, osmišljen da prevari žrtve da pokrenu zlonamjerni PowerShell kôd na svojim sistemima. Zlonamjerni akteri to postižu korištenjem taktike poznate kao “ClickFix”, oslanjajući se na ljudsku psihologiju, a ne na tehničke ranjivosti. Internet lokacija se predstavlja kao legitimna i nakon rješavanja CAPTCHA izazova, nalaže korisnicima da izvrše PowerShell komandu koristeći Windows dijalog za pokretanje.

Ovaj zahtev za ručno izvršavanje je pametno izbjegavanje automatizovane odbrane elektronske pošte i internet pregledača. Zahtjevajući od žrtava da ručno izvrše kôd, zlonamjerni akteri mogu zaobići tradicionalne bezbjednosne mjere koje se oslanjaju na automatsko otkrivanje i blokiranje. Ovaj pristup takođe odražava širi trend u industriji među akterima naprednih trajnih prijetnji (eng. advanced persistent threat – APT), koji kontinuirano prilagođavaju svoje taktike kako bi ostali ispred sigurnosnih mjera.

 

Tehnike izbjegavanja

Kako branioci poboljšavaju svoje mogućnosti detekcije, zlonamjerni akteri odgovaraju sve sofisticiranijim taktikama izbjegavanja. U ovom slučaju, početni PowerShell kôd preuzima skriptu druge faze sa IP adrese (165.227.148[.]68). Ova skripta koristi provjere zasnovane na rezoluciji ekrana kako bi izbjegla izolovana okruženja (eng. sandbox) i virtuelne mašine izračunavanjem MD5 heša rezolucije ekrana sistema. Ako se izračunati heš podudara sa unaprijed definisanim skupom, izvršenje se prekida – što braniocima otežava analizu ili replikaciju lanca napada u kontrolisanom okruženju.

Treća faza se sastoji od Base64 kôdiranog korisnog opterećenja (eng. payload) koje sadrži dodatni PowerShell kôd, koji preuzima dvije dodatne datoteke iz infrastrukture koju kontroliše zlonamjerni akter: Visual Basic ScriptVBS dekoder i kôdirano korisno opterećenje. Nakon što prođu kroz više faza izbjegavanja i šifrovanja, žrtve konačno dobijaju rezultat – sam zlonamjerni softver LOSTKEYS. Dekoder rekonstruiše ovo korisno opterećenje iz šifrovanih podataka koristeći par jedinstvenih ključeva specifičnih za svaki lanac infekcije i supstitucionu šifru – što čini statičku analizu i grupno dešifrovanje nepraktičnim.

 

Mogućnosti

LOSTKEYS je projektovan da prikuplja datoteke iz ciljanih direktorijuma na osnovu unaprijed definisane kôdirane liste ekstenzija datoteka. To znači da je zlonamjerni softver posebno dizajniran da cilja određene tipove datoteka, kao što su dokumenti, slike ili izvršni programi. Činjenica da LOSTKEYS koristi unaprijed definisanu listu ekstenzija datoteka sugeriše da su njegovi tvorci pažljivo planirali svoju strategiju napada.

Ciljanjem određenih direktorijuma i tipova datoteka, LOSTKEYS potencijalno može prikupiti osjetljive informacije iz ugroženih sistema, a da ih tradicionalne bezbjednosne mjere ne otkriju. Ovo pokreće zabrinutost zbog mogućnosti ugrožavanja podataka i krađe intelektualne svojine, posebno u industrijama gdje su povjerljive informacije veoma cijenjene.

Pored prikupljanja datoteka, LOSTKEYS takođe izvlače metapodatke sistema i popisuje pokrenute procese, usmjeravajući ove podatke nazad na servere komande i kontrole (C2) koje kontroliše zlonamjerni akter. Ova mogućnost omogućava zlonamjernim akterima da prikupe detaljne informacije o kompromitovanim sistemima, uključujući verzije operativnog sistema, instalirani softver i konfiguracije mreže.

Sposobnost LOSTKEYS zlonamjernog softvera da prikuplja metapodatke sistema je posebno zabrinjavajuća jer može da pruži zlonamjernim akterima sveobuhvatno razumijevanje arhitekture i ranjivosti ciljanog sistema. Sa ovim znanjem, mogu da prilagode svoje napade kako bi iskoristili određene slabosti ili koristili prikupljene informacije za dalje zlonamjerne aktivnosti, kao što je širenje zlonamjernog softvera ili sprovođenje bočnog kretanja unutar organizacije.

Popisivanje pokrenutih procesa od strane LOSTKEYS zlonamjernog softvera takođe pokreće zabrinutost zbog potencijalne eskalacije privilegija i neovlaštenog pristupa osjetljivim dijelovima sistema. Identifikovanjem aktivnih procesa, zlonamjerni akteri mogu biti u mogućnosti da identifikuju ranjivosti u ovim aplikacijama ili da ih iskoriste da bi dobili povećane privilegije na kompromitovanom sistemu.

 

COLDRIVER APT

COLDRIVER je enigmatična grupa koja djeluje od 2019. godine, a njeni korijeni datiraju još od SEABORGIUM, imena koje će kasnije postati sinonim za sofisticiranost i lukavstvo u svetu sajber prijetnji. Pogledom u svijet COLDRIVER zlonamjernih aktera poznatih još pod nazivima Callisto Group, TA446, UNC4057, TAG-53 i BlueCharlie, postaje jasno da je ovo grupa za razliku od bilo koje druge – ona koja napreduje zahvaljujući prikrivenosti, preciznosti i dubokom razumijevanju ljudske psihologije.

Način rada COLDRIVER zlonamjernih aktera se vrti oko spear phishing napada, taktike koja uključuje ciljanje određenih pojedinaca ili organizacija prilagođenim napadima. Ovaj pristup zahteva detaljno poznavanje digitalnog prisustva žrtve, navika na društvenim medijima, pa čak i njenih ličnih interesovanja. Kreiranjem lažnih naloga elektronske pošte, profila na društvenim medijima i internet stranica, COLDRIVER je u stanju da stvori ubjedljivu naraciju koja mami njihove mete u lažni osjećaj sigurnosti. Operativci grupe su pedantni u svom istraživanju, često idući toliko daleko da kreiraju pozivnice za događaje ili drugi naizgled bezopasan sadržaj osmišljen da probudi interesovanje svojih meta.

Sofisticiranost grupe COLDRIVER ne leži samo u njenoj sposobnosti da izbjegne otkrivanje, već i u njenoj sposobnosti da se prilagodi i evoluira. Kako se mjere sajber bezbjednosti poboljšavaju, ovaj zlonamjerni akter je pokazao vjerovatnu sposobnost da bude korak ispred svih. Korišćenjem platformi društvenih medija i internet stranica, COLDRIVER je u mogućnosti da sa lakoćom prikupi obavještajne podatke o potencijalnim metama – svjedočanstvo o razumijevanju grupe o ljudskom ponašanju u digitalnom prostoru.

Jedan od najupečatljivijih aspekata pristupa COLDRIVER zlonamjernih aktera je naglasak na temeljnom istraživanju. Ovaj zlonamjerni akter odvaja vreme da razumije svoje žrtve, često kreirajući lažne profile i persone koje su dizajnirane da se besprijekorno uklope u društvene krugove svojih meta. Operativci grupe su vješti u kreiranju ubjedljivih narativa, često koristeći događaje iz stvarnog sveta ili aktuelne događaje kao osnovu za svoje napade. Ovaj pristup im omogućava da iskoriste emocionalnu rezonancu svojih meta, čineći vjerovatnijim da će postati žrtve obmane. Na taj način, COLDRIVER je u stanju da izgradi povjerenje i kredibilitet – bitne komponente za uspješnu operaciju phishing napada.

Preciznost sa kojom COLDRIVER djeluje je obilježje sofisticiranosti ovog zlonamjernog aktera. Ciljanjem određenih pojedinaca ili organizacija, umjesto oslanjanja na široko rasprostranjene napade, grupa je u stanju da poveća svoj uticaj uz smanjenje rizika od otkrivanja. Ovaj ciljani pristup takođe omogućava COLDRIVER zlonamjernim akterima da vremenom usavrše svoje taktike i tehnike – sposobnost koja im je omogućila da ostanu ispred mjera sajber bezbjednosti.

 

UTICAJ

Korištenje zlonamjernog softvera LOSTKEYS od strane napredne trajne prijetnje (APT) COLDRIVER ima značajne implikacije po globalnu sajber bezbjednost, posebno u sektorima visokog profila kao što su vlada i nevladine organizacije. Činjenica da je ovaj zlonamjerni akter uspeo da uspješno primjeni svoj prilagođeni zlonamjerni softver u višestrukim napadima na sadašnje i bivše savjetnike zapadnih vlada i vojske, novinare, tink-tenkove i nevladine organizacije je razlog za zabrinutost.

Pored toga, činjenica da je COLDRIVER uspeo da prilagodi svoju taktiku od phishing napada na podatke za prijavu do isporuke zlonamjernog softvera koji direktno na ciljne uređaje takođe je vrijedna pažnje. Ova promjena ističe sve veću sofisticiranost zlonamjernog aktera, koji kontinuirano razvijaju svoje metode kako bi ostali ispred bezbjednosnih mjera.

Upotreba zlonamjernog softvera LOSTKEYS takođe pokreće pitanja o potencijalu za krađu podataka u neviđenim razmjerama. Sa svojom sposobnošću da ukrade osjetljive informacije sa ugroženih naloga, moguće je da COLDRIVER prikuplja i analizira ogromne količine ličnih i organizacionih podataka u realnom vremenu. Ovo ne samo da bi predstavljalo značajan rizik po privatnost pojedinaca, već bi pružilo i vrijedne uvide u globalnu politiku i vojne operacije.

Kako tenzije između Rusije i zapadnih sila nastavljaju da eskaliraju, jasno je da će sajber bezbjednost igrati sve važniju ulogu u međunarodnim odnosima. Upotreba zlonamjernog softvera kao što je LOSTKEYS ističe spremnost COLDRIVER zlonamjernih aktera da se uključi u agresivne taktike sajber ratovanja. Osim toga, upotreba zlonamjernog softvera LOSTKEYS takođe pokreće pitanja o odgovornosti i dužnosti unutar globalnih sajber zajednica. S obzirom na to da mnoge države sada otvoreno priznaju svoje učešće u hakerskim operacijama koje sponzorišu države, jasno je da će vlade morati da preuzmu aktivniju ulogu u kontroli ovih aktivnosti ako želimo da održimo bilo kakav privid reda u digitalnom prostoru.

Suočene sa ovakvim prijetnjama, organizacije moraju ostati proaktivne u svom pristupu sajber bezbjednosti. To uključuje velika ulaganja u najsavremenije mjere bezbjednosti i informisanost o novim trendovima unutar globalnih sajber zajednica. Na taj način mogu se bolje pozicionirati za uspeh čak i protiv najsofisticiranijih zlonamjernih aktera poput COLDRIVER.

 

ZAKLJUČAK

Analiza kampanje zlonamjernih aktera COLDRIVER i njihovog zlonamjernog softvera LOSTKEYS otkriva sofisticirani lanac napada koji koristi taktike društvenog inženjeringa, tehnike izbjegavanja i napredne mogućnosti zlonamjernog softvera kako bi kompromitovao ciljane entitete. Upotreba PowerShell kôda i provjera zasnovanih na rezoluciji ekrana pokazuje razumijevanje modernih mehanizma odbrane i spremnost da se prilagodi novim mjerama u sajber bezbjednosti.

Primjena zlonamjernog softvera LOSTKEYS u odabranim slučajevima sugeriše ciljani pristup usmjeren na krađu osjetljivih podataka od određenih pojedinaca ili organizacija, uključujući vlade NATO saveza, nevladine organizacije, bivše diplomate i pojedince povezane sa zapadnim vojnim i političkim krugovima. Ovaj strateški fokus je u skladu sa reputacijom grupe COLDRIVER za sprovođenje rizičnih sajber operacija u ime ruskih državnih interesa.

Osim toga primjetna je evoluirajuća priroda ove grupe, jer primjena LOSTKEYS zlonamjernog softvera označava odstupanje od njihovih tradicionalnih phishing taktika i naglašava potrebu za kontinuiranom budnošću u praćenju novih prijetnji. Zbog toga je sveobuhvatno razumijevanje taktika, tehnika i procedura COLDRIVER zlonamjernih aktera ključno u ublažavanju budućih napada. Analizom ove kampanje moguće je steći vrijedne uvide u način razmišljanja zlonamjernih aktera i razvijati efikasnije kontramjere za zaštitu od sličnih prijetnji.

 

ZAŠTITA

Da bi se efikasno suprotstavili zlonamjernim aktivnostima APT grupe COLDRIVER koja koristi LOSTKEYS zlonamjerni softver, neophodan je višeslojni pristup. Evo nekoliko preporuka za zaštitu:

  1. Organizacije i pojedinci moraju dati prioritet implementaciji sveobuhvatnih bezbjednosnih mjera kako bi se zaštitili od sajber prijetnji. Ovo uključuje redovna ažuriranja softvera, jake lozinke, autentifikaciju u dva koraka (eng. two-factor authentication – 2FA) i bezbjedne prakse korištenja elektronske pošte;
  2. Tehnika “ClickFix” koju koriste COLDRIVER zlonamjerni akteri oslanja se na prevaru žrtvi kako bi ih pokrenuli zlonamjerne PowerShell skripte putem lažnih CAPTCHA izazova ili drugih taktika društvenog inženjeringa. Edukacija zaposlenih i pojedinaca da budu oprezni prilikom interakcije sa nepoznatim linkovima, prilozima ili zahtevima može značajno smanjiti rizik da postanu žrtve;
  3. Redovno praćenje dolaznih elektronskih poruka radi sumnjivih aktivnosti je ključno u otkrivanju potencijalnih LOSTKEYS. Ovo uključuje ispitivanje informacija o pošiljaocu, tipova priloga i neobičnog ponašanja veza;
  4. Implementacija najsavremenijeg bezbjednosnog softvera koji uključuje otkrivanje prijetnji zasnovano na vještačkoj inteligenciji može pomoći u identifikaciji i blokiranju zlonamjernih aktivnosti prije nego što nanesu štetu;
  5. Periodična evaluacija sistema, mreža i aplikacija za potencijalne ranjivosti je neophodna za identifikovanje slabosti koje bi zlonamjerni softver LOSTKEYS mogao da iskoristi;
  6. Implementirati mrežnu arhitekturu nultog povjerenja (eng. zero-trust network architecture – ZTNA) koja podrazumijeva provjeru identiteta i autentičnosti svih korisnika i uređaja koji pokušavaju da pristupe resursima unutar mreže. Ovaj pristup može pomoći u sprečavanju bočnog kretanja i krađe podataka čak i ako zlonamjerni akter dobije početni pristup;
  7. Koristiti šifrovanje od kraja do kraja ( end-to-end encryption – E2EE) za osjetljive komunikacije, kao što su elektronska pošta ili aplikacije za razmjenu poruka, koje daju prioritet bezbjednosnim funkcijama poput šifrovanog skladištenja i prenosa poruka;
  8. Razvoj i redovno ažuriranje plana odgovora na sajber prijetnju osigurava da su organizacije spremne da brzo i efikasno reaguju u slučaju napada. Ovo uključuje procedure za obuzdavanje, iskorjenjivanje, oporavak i aktivnosti nakon incidenta;
  9. Implementirati model pristupa sa najmanjim privilegijama (eng. least privilege access model – LPAM) koji podrazumijeva davanje korisnicima minimalnog nivoa privilegija neophodnog za njihove uloge, smanjujući površinu napada u slučaju da zlonamjerni akter dobije početni pristup;
  10. Implementacija softvera koji prati i analizira ponašanje korisnika može pomoći u identifikaciji potencijalnih bezbjednosnih prijetnji prije nego što eskaliraju u potpune napade poput onih koje omogućava zlonamjerni softver LOSTKEYS;
  11. Implementirati politiku bezbjednog skladištenja podataka, osiguravajući da se osjetljive informacije bezbjedno čuvaju, uz odgovarajuće šifrovanje i kontrole pristupa, smanjuje rizik od neovlaštene krađe podataka putem LOSTKEYS ili drugih zlonamjernih sredstava;
  12. Održavanje operativnih sistema i aplikacija ažuriranim osigurava posjedovanje najnovijih bezbjednosnih ispravki, smanjujući ranjivosti koje bi zlonamjerni akteri mogli da iskoriste koristeći zlonamjerni softver poput LOSTKEYS;
  13. Redovna procjena odbrane organizacije putem simuliranih sajber napada može pomoći u identifikaciji ranjivosti koje bi zlonamjerni akteri mogli da iskoriste koristeći LOSTKEYS ili druge zlonamjerne alate, omogućavajući preduzimanje proaktivnih koraka za jačanje sajber bezbjednosnog položaja;
  14. Kako sve više zaposlenih donosi svoje lične uređaje na radno mjesto zbog aranžmana rada na daljinu, implementacija bezbjedne politike korištenja vlastitih uređaja (eng. bring your own device – BYOD) može pomoći u sprečavanju napada koji koriste zlonamjerni softver LOSTKEYS i slične zlonamjerne prijetnje;
  15. Ako se organizacija oslanja na eksterne partnere za pružanje kritičnih usluga, sprovođenje periodičnih bezbjednosnih evaluacija može pomoći da se osigura da te strane održavaju robusne prakse sajber bezbjednosti koje su usklađene sa bezbjednosnim standardima organizacije;
  16. Kako se sve više uređaja povezuje na internet stvari (eng. internet of things – IoT), implementacija politika i procedura za bezbjedno upravljanje ovim uređajima je neophodna u sprečavanju napada koji koriste zlonamjerni softver LOSTKEYS ili slične prijetnje.

Usvajanjem ovih preporuka, organizacije mogu značajno smanjiti svoju izloženost riziku od zlonamjernog softvera LOSTKEYS i drugih sofisticiranih sajber napada.

Tags:

Možda vas interesuje i...

Komentariši

Vaša email adresa neće biti objavljivana. Neophodna polja su označena sa *


The reCAPTCHA verification period has expired. Please reload the page.