{"id":7989,"date":"2025-05-12T00:34:34","date_gmt":"2025-05-11T22:34:34","guid":{"rendered":"https:\/\/sajberinfo.com\/?p=7989"},"modified":"2025-05-12T00:34:34","modified_gmt":"2025-05-11T22:34:34","slug":"najnovija-coldriver-prijetnja-lostkeys","status":"publish","type":"post","link":"https:\/\/sajberinfo.com\/en\/2025\/05\/12\/najnovija-coldriver-prijetnja-lostkeys\/","title":{"rendered":"Najnovija COLDRIVER prijetnja: LOSTKEYS"},"content":{"rendered":"<p><span style=\"font-size: 14pt;\">U oblasti sajber prijetnji, <em>LOSTKEYS<\/em> je vi\u0161e od samo jo\u0161 jednog zlonamjernog alata u arsenalu <em>COLDRIVER<\/em> <a href=\"https:\/\/sajberinfo.com\/2022\/03\/19\/hakeri-crni-sesiri-epizoda-3\/\" target=\"_blank\" rel=\"nofollow noopener\">zlonamjernih aktera<\/a>. To predstavlja strate\u0161ku eskalaciju u njihovim naporima da prikupe obavje\u0161tajne podatke, izvuku metapodatke sistema i poremete kriti\u010dnu infrastrukturu precizno i prikriveno, <a href=\"https:\/\/cloud.google.com\/blog\/topics\/threat-intelligence\/coldriver-steal-documents-western-targets-ngos\" target=\"_blank\" rel=\"noopener\">pokazuje otkri\u0107e <em>Google<\/em> grupe za obavje\u0161tajne prijetnje<\/a> (eng. <em>Google Threat Intelligence Group \u2013 GTIG<\/em>).<\/span><\/p>\n<div id=\"attachment_7990\" style=\"width: 1034px\" class=\"wp-caption aligncenter\"><img loading=\"lazy\" decoding=\"async\" aria-describedby=\"caption-attachment-7990\" class=\"size-full wp-image-7990\" src=\"https:\/\/sajberinfo.com\/wp-content\/uploads\/2025\/05\/COLDRIVER-LOSTKEYS-malware.jpg\" alt=\"LOSTKEYS\" width=\"1024\" height=\"1024\" srcset=\"https:\/\/sajberinfo.com\/wp-content\/uploads\/2025\/05\/COLDRIVER-LOSTKEYS-malware.jpg 1024w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2025\/05\/COLDRIVER-LOSTKEYS-malware-300x300.jpg 300w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2025\/05\/COLDRIVER-LOSTKEYS-malware-150x150.jpg 150w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2025\/05\/COLDRIVER-LOSTKEYS-malware-768x768.jpg 768w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2025\/05\/COLDRIVER-LOSTKEYS-malware-12x12.jpg 12w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2025\/05\/COLDRIVER-LOSTKEYS-malware-80x80.jpg 80w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2025\/05\/COLDRIVER-LOSTKEYS-malware-320x320.jpg 320w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><p id=\"caption-attachment-7990\" class=\"wp-caption-text\"><em>Najnovija COLDRIVER prijetnja: LOSTKEYS; Source: Bing Image Creator<\/em><\/p><\/div>\n<div id=\"ez-toc-container\" class=\"ez-toc-v2_0_82 counter-hierarchy ez-toc-counter ez-toc-custom ez-toc-container-direction\">\n<div class=\"ez-toc-title-container\">\n<p class=\"ez-toc-title\" style=\"cursor:inherit\">Sadr\u017eaj<\/p>\n<span class=\"ez-toc-title-toggle\"><a href=\"#\" class=\"ez-toc-pull-right ez-toc-btn ez-toc-btn-xs ez-toc-btn-default ez-toc-toggle\" aria-label=\"Toggle Table of Content\"><span class=\"ez-toc-js-icon-con\"><span class=\"\"><span class=\"eztoc-hide\" style=\"display:none;\">Toggle<\/span><span class=\"ez-toc-icon-toggle-span\"><svg style=\"fill: #ffffff;color:#ffffff\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" class=\"list-377408\" width=\"20px\" height=\"20px\" viewBox=\"0 0 24 24\" fill=\"none\"><path d=\"M6 6H4v2h2V6zm14 0H8v2h12V6zM4 11h2v2H4v-2zm16 0H8v2h12v-2zM4 16h2v2H4v-2zm16 0H8v2h12v-2z\" fill=\"currentColor\"><\/path><\/svg><svg style=\"fill: #ffffff;color:#ffffff\" class=\"arrow-unsorted-368013\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" width=\"10px\" height=\"10px\" viewBox=\"0 0 24 24\" version=\"1.2\" baseProfile=\"tiny\"><path d=\"M18.2 9.3l-6.2-6.3-6.2 6.3c-.2.2-.3.4-.3.7s.1.5.3.7c.2.2.4.3.7.3h11c.3 0 .5-.1.7-.3.2-.2.3-.5.3-.7s-.1-.5-.3-.7zM5.8 14.7l6.2 6.3 6.2-6.3c.2-.2.3-.5.3-.7s-.1-.5-.3-.7c-.2-.2-.4-.3-.7-.3h-11c-.3 0-.5.1-.7.3-.2.2-.3.5-.3.7s.1.5.3.7z\"\/><\/svg><\/span><\/span><\/span><\/a><\/span><\/div>\n<nav><ul class='ez-toc-list ez-toc-list-level-1 ' ><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-1\" href=\"https:\/\/sajberinfo.com\/en\/2025\/05\/12\/najnovija-coldriver-prijetnja-lostkeys\/#LOSTKEYS_ZLONAMJERNI_SOFTVER\">LOSTKEYS ZLONAMJERNI SOFTVER<\/a><ul class='ez-toc-list-level-3' ><li class='ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-2\" href=\"https:\/\/sajberinfo.com\/en\/2025\/05\/12\/najnovija-coldriver-prijetnja-lostkeys\/#Pocetni_vektor\">Po\u010detni vektor<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-3\" href=\"https:\/\/sajberinfo.com\/en\/2025\/05\/12\/najnovija-coldriver-prijetnja-lostkeys\/#Tehnike_izbjegavanja\">Tehnike izbjegavanja<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-4\" href=\"https:\/\/sajberinfo.com\/en\/2025\/05\/12\/najnovija-coldriver-prijetnja-lostkeys\/#Mogucnosti\">Mogu\u0107nosti<\/a><\/li><\/ul><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-5\" href=\"https:\/\/sajberinfo.com\/en\/2025\/05\/12\/najnovija-coldriver-prijetnja-lostkeys\/#COLDRIVER_APT\">COLDRIVER APT<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-6\" href=\"https:\/\/sajberinfo.com\/en\/2025\/05\/12\/najnovija-coldriver-prijetnja-lostkeys\/#UTICAJ\">UTICAJ<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-7\" href=\"https:\/\/sajberinfo.com\/en\/2025\/05\/12\/najnovija-coldriver-prijetnja-lostkeys\/#ZAKLJUCAK\">ZAKLJU\u010cAK<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-8\" href=\"https:\/\/sajberinfo.com\/en\/2025\/05\/12\/najnovija-coldriver-prijetnja-lostkeys\/#ZASTITA\">ZA\u0160TITA<\/a><\/li><\/ul><\/nav><\/div>\n\n<h2><span class=\"ez-toc-section\" id=\"LOSTKEYS_ZLONAMJERNI_SOFTVER\"><\/span><strong><em>LOSTKEYS<\/em> ZLONAMJERNI SOFTVER<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><span style=\"font-size: 14pt;\">Kao \u0161to je ve\u0107 re\u010deno, <em>Google<\/em> grupa za obavje\u0161tajne prijetnje (<em>GTIG<\/em>) otkrila je novu kampanju zlonamjernog softvera koju je orkestrirao ruski dr\u017eavni akter prijetnji <em>COLDRIVER, <\/em>poznat po svojim <a href=\"https:\/\/sajberinfo.com\/2022\/01\/02\/phishing-meta-su-ljudi-ne-tehnologija\/\" target=\"_blank\" rel=\"nofollow noopener\"><em>phishing<\/em> <\/a>napadima na podatke za prijavu visokoprofilnih ciljeva.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Pojava ove nove kampanje <a href=\"https:\/\/sajberinfo.com\/2021\/09\/26\/malware\/\" target=\"_blank\" rel=\"nofollow noopener\">zlonamjernog softvera<\/a> ozna\u010dava zna\u010dajnu evoluciju u ofanzivnim sajber sposobnostima grupe. Nova varijanta zlonamjernog softvera koju koristi <em>COLDRIVER<\/em> naziva se <em>LOSTKEYS<\/em>, a primije\u0107ena je njegova upotreba od januara 2025. godine. Ovaj zlonamjerni softver cilja \u0161irok spektar visokoprofilnih entiteta, uklju\u010duju\u0107i vlade <em>NATO<\/em> saveza, nevladine organizacije, biv\u0161e diplomate i pojedince povezane sa zapadnim vojnim i politi\u010dkim krugovima.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Upotreba <em>LOSTKEYS<\/em> zlonamjernog softvera ozna\u010dava odstupanje od tradicionalnih <a href=\"https:\/\/sajberinfo.com\/2022\/02\/23\/phishing\/\" target=\"_blank\" rel=\"nofollow noopener\"><em>phishing<\/em> <\/a>taktika grupe, \u0161to ukazuje na pove\u0107anu sofisticiranost njihovih sajber sposobnosti. \u010cinjenica da je ovaj novi zlonamjerni softver primije\u0107en u aktivnim primjenama tokom vi\u0161e mjeseci (januar, mart i april 2025. godine) ukazuje na koordinisane napore <em>COLDRIVER<\/em> zlonamjernih aktera da pro\u0161ire svoj domet i uticaj.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h3><span class=\"ez-toc-section\" id=\"Pocetni_vektor\"><\/span><strong>Po\u010detni vektor<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p><span style=\"font-size: 14pt;\">U dana\u0161njem digitalnom okru\u017eenju, dru\u0161tveni in\u017eenjering ostaje mo\u0107no oru\u0111e u arsenalu zlonamjernih aktera. La\u017ena <em>CAPTCHA<\/em> internet stranica se koristi kao po\u010detni mamac, osmi\u0161ljen da prevari \u017ertve da pokrenu zlonamjerni <em>PowerShell<\/em> k\u00f4d na svojim sistemima. Zlonamjerni akteri to posti\u017eu kori\u0161tenjem taktike poznate kao \u201c<em>ClickFix<\/em>\u201d, oslanjaju\u0107i se na ljudsku psihologiju, a ne na tehni\u010dke ranjivosti. Internet lokacija se predstavlja kao legitimna i nakon rje\u0161avanja <em>CAPTCHA<\/em> izazova, nala\u017ee korisnicima da izvr\u0161e <em>PowerShell<\/em> komandu koriste\u0107i <em>Windows<\/em> dijalog za pokretanje.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Ovaj zahtev za ru\u010dno izvr\u0161avanje je pametno izbjegavanje automatizovane odbrane elektronske po\u0161te i internet pregleda\u010da. Zahtjevaju\u0107i od \u017ertava da ru\u010dno izvr\u0161e k\u00f4d, zlonamjerni akteri mogu zaobi\u0107i tradicionalne bezbjednosne mjere koje se oslanjaju na automatsko otkrivanje i blokiranje. Ovaj pristup tako\u0111e odra\u017eava \u0161iri trend u industriji me\u0111u akterima <a href=\"https:\/\/sajberinfo.com\/2020\/12\/08\/apt-sponzorisani-napadi\/\" target=\"_blank\" rel=\"nofollow noopener\">naprednih trajnih prijetnji<\/a> (eng. <em>advanced persistent threat \u2013 APT<\/em>), koji kontinuirano prilago\u0111avaju svoje taktike kako bi ostali ispred sigurnosnih mjera.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h3><span class=\"ez-toc-section\" id=\"Tehnike_izbjegavanja\"><\/span><strong>Tehnike izbjegavanja<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p><span style=\"font-size: 14pt;\">Kako branioci pobolj\u0161avaju svoje mogu\u0107nosti detekcije, zlonamjerni akteri odgovaraju sve sofisticiranijim taktikama izbjegavanja. U ovom slu\u010daju, po\u010detni <em>PowerShell<\/em> k\u00f4d preuzima skriptu druge faze sa <em>IP<\/em> adrese (<em>165.227.148<\/em>[.]<em>68<\/em>). Ova skripta koristi provjere zasnovane na rezoluciji ekrana kako bi izbjegla izolovana okru\u017eenja (eng. <em>sandbox<\/em>) i virtuelne ma\u0161ine izra\u010dunavanjem <em>MD5<\/em> <a href=\"https:\/\/sajberinfo.com\/2022\/06\/09\/enkripcija-podataka-hes-funkcija-epizoda-4\/\" target=\"_blank\" rel=\"nofollow noopener\">he\u0161a<\/a> rezolucije ekrana sistema. Ako se izra\u010dunati he\u0161 podudara sa unaprijed definisanim skupom, izvr\u0161enje se prekida \u2013 \u0161to braniocima ote\u017eava analizu ili replikaciju lanca napada u kontrolisanom okru\u017eenju.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Tre\u0107a faza se sastoji od <em>Base64<\/em> k\u00f4diranog <a href=\"https:\/\/sajberinfo.com\/2023\/04\/11\/payload\/\" target=\"_blank\" rel=\"nofollow noopener\">korisnog optere\u0107enja<\/a> (eng. <em>payload<\/em>) koje sadr\u017ei dodatni <em>PowerShell<\/em> k\u00f4d, koji preuzima dvije dodatne datoteke iz infrastrukture koju kontroli\u0161e zlonamjerni akter: <em>Visual Basic Script<\/em> \u2013 <em>VBS<\/em> dekoder i k\u00f4dirano korisno optere\u0107enje. Nakon \u0161to pro\u0111u kroz vi\u0161e faza izbjegavanja i <a href=\"https:\/\/sajberinfo.com\/2022\/03\/20\/enkripcija-podataka-istorija-i-osnove-epizoda-1\/\" target=\"_blank\" rel=\"nofollow noopener\">\u0161ifrovanja<\/a>, \u017ertve kona\u010dno dobijaju rezultat \u2013 sam zlonamjerni softver <em>LOSTKEYS<\/em>. Dekoder rekonstrui\u0161e ovo korisno optere\u0107enje iz <a href=\"https:\/\/sajberinfo.com\/2022\/04\/10\/enkripcija-podataka-funkcionisanje-i-vrste-epizoda-2\/\" target=\"_blank\" rel=\"nofollow noopener\">\u0161ifrovanih<\/a> podataka koriste\u0107i par jedinstvenih klju\u010deva specifi\u010dnih za svaki lanac infekcije i supstitucionu \u0161ifru \u2013 \u0161to \u010dini stati\u010dku analizu i grupno de\u0161ifrovanje neprakti\u010dnim.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h3><span class=\"ez-toc-section\" id=\"Mogucnosti\"><\/span><strong>Mogu\u0107nosti<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p><span style=\"font-size: 14pt;\"><em>LOSTKEYS<\/em> je projektovan da prikuplja datoteke iz ciljanih direktorijuma na osnovu unaprijed definisane k\u00f4dirane liste ekstenzija datoteka. To zna\u010di da je zlonamjerni softver posebno dizajniran da cilja odre\u0111ene tipove datoteka, kao \u0161to su dokumenti, slike ili izvr\u0161ni programi. \u010cinjenica da <em>LOSTKEYS<\/em> koristi unaprijed definisanu listu ekstenzija datoteka sugeri\u0161e da su njegovi tvorci pa\u017eljivo planirali svoju strategiju napada.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Ciljanjem odre\u0111enih direktorijuma i tipova datoteka, <em>LOSTKEYS<\/em> potencijalno mo\u017ee prikupiti osjetljive informacije iz ugro\u017eenih sistema, a da ih tradicionalne bezbjednosne mjere ne otkriju. Ovo pokre\u0107e zabrinutost zbog mogu\u0107nosti ugro\u017eavanja podataka i kra\u0111e intelektualne svojine, posebno u industrijama gdje su povjerljive informacije veoma cijenjene.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Pored prikupljanja datoteka, <em>LOSTKEYS<\/em> tako\u0111e izvla\u010de metapodatke sistema i popisuje pokrenute procese, usmjeravaju\u0107i ove podatke nazad na servere komande i kontrole (<em>C2<\/em>) koje kontroli\u0161e zlonamjerni akter. Ova mogu\u0107nost omogu\u0107ava zlonamjernim akterima da prikupe detaljne informacije o kompromitovanim sistemima, uklju\u010duju\u0107i verzije operativnog sistema, instalirani softver i konfiguracije mre\u017ee.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Sposobnost <em>LOSTKEYS <\/em>zlonamjernog softvera da prikuplja metapodatke sistema je posebno zabrinjavaju\u0107a jer mo\u017ee da pru\u017ei zlonamjernim akterima sveobuhvatno razumijevanje arhitekture i ranjivosti ciljanog sistema. Sa ovim znanjem, mogu da prilagode svoje napade kako bi iskoristili odre\u0111ene slabosti ili koristili prikupljene informacije za dalje zlonamjerne aktivnosti, kao \u0161to je \u0161irenje zlonamjernog softvera ili sprovo\u0111enje <a href=\"https:\/\/sajberinfo.com\/2023\/11\/09\/lateral-movement\/\" target=\"_blank\" rel=\"nofollow noopener\">bo\u010dnog kretanja<\/a> unutar organizacije.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Popisivanje pokrenutih procesa od strane <em>LOSTKEYS <\/em>zlonamjernog softvera tako\u0111e pokre\u0107e zabrinutost zbog potencijalne eskalacije privilegija i neovla\u0161tenog pristupa osjetljivim dijelovima sistema. Identifikovanjem aktivnih procesa, zlonamjerni akteri mogu biti u mogu\u0107nosti da identifikuju ranjivosti u ovim aplikacijama ili da ih iskoriste da bi dobili pove\u0107ane privilegije na kompromitovanom sistemu.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h2><span class=\"ez-toc-section\" id=\"COLDRIVER_APT\"><\/span><strong><em>COLDRIVER APT<\/em><\/strong><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><span style=\"font-size: 14pt;\"><em>COLDRIVER<\/em> je enigmati\u010dna grupa koja djeluje od 2019. godine, a njeni korijeni datiraju jo\u0161 od <em>SEABORGIUM<\/em>, imena koje \u0107e kasnije postati sinonim za sofisticiranost i lukavstvo u svetu sajber prijetnji. Pogledom u svijet <em>COLDRIVER<\/em> zlonamjernih aktera poznatih jo\u0161 pod nazivima <em>Callisto<\/em> <em>Group<\/em>, <em>TA446<\/em>, <em>UNC4057, TAG-53<\/em> i <em>BlueCharlie<\/em>, postaje jasno da je ovo grupa za razliku od bilo koje druge \u2013 ona koja napreduje zahvaljuju\u0107i prikrivenosti, preciznosti i dubokom razumijevanju ljudske psihologije.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Na\u010din rada <em>COLDRIVER<\/em> zlonamjernih aktera se vrti oko <a href=\"https:\/\/sajberinfo.com\/2022\/02\/23\/spear-phishing\/\" target=\"_blank\" rel=\"nofollow noopener\"><em>spear<\/em> <em>phishing <\/em><\/a>napada, taktike koja uklju\u010duje ciljanje odre\u0111enih pojedinaca ili organizacija prilago\u0111enim napadima. Ovaj pristup zahteva detaljno poznavanje digitalnog prisustva \u017ertve, navika na <a href=\"https:\/\/sajberinfo.com\/2023\/01\/15\/drustveni-mediji-uvod-epizoda-1\/\" target=\"_blank\" rel=\"nofollow noopener\">dru\u0161tvenim medijima<\/a>, pa \u010dak i njenih li\u010dnih interesovanja. Kreiranjem la\u017enih naloga elektronske po\u0161te, profila na dru\u0161tvenim medijima i internet stranica, <em>COLDRIVER<\/em> je u stanju da stvori ubjedljivu naraciju koja mami njihove mete u la\u017eni osje\u0107aj sigurnosti. Operativci grupe su pedantni u svom istra\u017eivanju, \u010desto idu\u0107i toliko daleko da kreiraju pozivnice za doga\u0111aje ili drugi naizgled bezopasan sadr\u017eaj osmi\u0161ljen da probudi interesovanje svojih meta.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Sofisticiranost grupe <em>COLDRIVER<\/em> ne le\u017ei samo u njenoj sposobnosti da izbjegne otkrivanje, ve\u0107 i u njenoj sposobnosti da se prilagodi i evoluira. Kako se mjere <a href=\"https:\/\/sajberinfo.com\/2018\/12\/23\/sajber-bezbjednost\/\" target=\"_blank\" rel=\"nofollow noopener\">sajber bezbjednosti<\/a> pobolj\u0161avaju, ovaj zlonamjerni akter je pokazao vjerovatnu sposobnost da bude korak ispred svih. Kori\u0161\u0107enjem platformi dru\u0161tvenih medija i internet stranica, <em>COLDRIVER<\/em> je u mogu\u0107nosti da sa lako\u0107om prikupi obavje\u0161tajne podatke o potencijalnim metama \u2013 svjedo\u010danstvo o razumijevanju grupe o ljudskom pona\u0161anju u digitalnom prostoru.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Jedan od najupe\u010datljivijih aspekata pristupa <em>COLDRIVER<\/em> zlonamjernih aktera je naglasak na temeljnom istra\u017eivanju. Ovaj zlonamjerni akter odvaja vreme da razumije svoje \u017ertve, \u010desto kreiraju\u0107i la\u017ene profile i persone koje su dizajnirane da se besprijekorno uklope u dru\u0161tvene krugove svojih meta. Operativci grupe su vje\u0161ti u kreiranju ubjedljivih narativa, \u010desto koriste\u0107i doga\u0111aje iz stvarnog sveta ili aktuelne doga\u0111aje kao osnovu za svoje napade. Ovaj pristup im omogu\u0107ava da iskoriste emocionalnu rezonancu svojih meta, \u010dine\u0107i vjerovatnijim da \u0107e postati \u017ertve obmane. Na taj na\u010din, <em>COLDRIVER<\/em> je u stanju da izgradi povjerenje i kredibilitet \u2013 bitne komponente za uspje\u0161nu operaciju <em>phishing <\/em>napada.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Preciznost sa kojom <em>COLDRIVER<\/em> djeluje je obilje\u017eje sofisticiranosti ovog zlonamjernog aktera. Ciljanjem odre\u0111enih pojedinaca ili organizacija, umjesto oslanjanja na \u0161iroko rasprostranjene napade, grupa je u stanju da pove\u0107a svoj uticaj uz smanjenje rizika od otkrivanja. Ovaj ciljani pristup tako\u0111e omogu\u0107ava <em>COLDRIVER<\/em> zlonamjernim akterima da vremenom usavr\u0161e svoje taktike i tehnike \u2013 sposobnost koja im je omogu\u0107ila da ostanu ispred mjera sajber bezbjednosti.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h2><span class=\"ez-toc-section\" id=\"UTICAJ\"><\/span><strong>UTICAJ<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><span style=\"font-size: 14pt;\">Kori\u0161tenje zlonamjernog softvera <em>LOSTKEYS<\/em> od strane napredne trajne prijetnje (<em>APT<\/em>) <em>COLDRIVER<\/em> ima zna\u010dajne implikacije po globalnu sajber bezbjednost, posebno u sektorima visokog profila kao \u0161to su vlada i nevladine organizacije. \u010cinjenica da je ovaj zlonamjerni akter uspeo da uspje\u0161no primjeni svoj prilago\u0111eni zlonamjerni softver u vi\u0161estrukim napadima na sada\u0161nje i biv\u0161e savjetnike zapadnih vlada i vojske, novinare, tink-tenkove i nevladine organizacije je razlog za zabrinutost.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Pored toga, \u010dinjenica da je <em>COLDRIVER<\/em> uspeo da prilagodi svoju taktiku od <em>phishing<\/em> napada na podatke za prijavu do isporuke zlonamjernog softvera koji direktno na ciljne ure\u0111aje tako\u0111e je vrijedna pa\u017enje. Ova promjena isti\u010de sve ve\u0107u sofisticiranost zlonamjernog aktera, koji kontinuirano razvijaju svoje metode kako bi ostali ispred bezbjednosnih mjera.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Upotreba zlonamjernog softvera <em>LOSTKEYS<\/em> tako\u0111e pokre\u0107e pitanja o potencijalu za kra\u0111u podataka u nevi\u0111enim razmjerama. Sa svojom sposobno\u0161\u0107u da ukrade osjetljive informacije sa ugro\u017eenih naloga, mogu\u0107e je da <em>COLDRIVER<\/em> prikuplja i analizira ogromne koli\u010dine li\u010dnih i organizacionih podataka u realnom vremenu. Ovo ne samo da bi predstavljalo zna\u010dajan rizik po privatnost pojedinaca, ve\u0107 bi pru\u017eilo i vrijedne uvide u globalnu politiku i vojne operacije.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Kako tenzije izme\u0111u Rusije i zapadnih sila nastavljaju da eskaliraju, jasno je da \u0107e sajber bezbjednost igrati sve va\u017eniju ulogu u me\u0111unarodnim odnosima. Upotreba zlonamjernog softvera kao \u0161to je <em>LOSTKEYS<\/em> isti\u010de spremnost <em>COLDRIVER <\/em>zlonamjernih aktera da se uklju\u010di u agresivne taktike sajber ratovanja. Osim toga, upotreba zlonamjernog softvera <em>LOSTKEYS<\/em> tako\u0111e pokre\u0107e pitanja o odgovornosti i du\u017enosti unutar globalnih sajber zajednica. S obzirom na to da mnoge dr\u017eave sada otvoreno priznaju svoje u\u010de\u0161\u0107e u hakerskim operacijama koje sponzori\u0161u dr\u017eave, jasno je da \u0107e vlade morati da preuzmu aktivniju ulogu u kontroli ovih aktivnosti ako \u017eelimo da odr\u017eimo bilo kakav privid reda u digitalnom prostoru.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Suo\u010dene sa ovakvim prijetnjama, organizacije moraju ostati proaktivne u svom pristupu sajber bezbjednosti. To uklju\u010duje velika ulaganja u najsavremenije mjere bezbjednosti i informisanost o novim trendovima unutar globalnih sajber zajednica. Na taj na\u010din mogu se bolje pozicionirati za uspeh \u010dak i protiv najsofisticiranijih zlonamjernih aktera poput <em>COLDRIVER<\/em>.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h2><span class=\"ez-toc-section\" id=\"ZAKLJUCAK\"><\/span><strong>ZAKLJU\u010cAK<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><span style=\"font-size: 14pt;\">Analiza kampanje zlonamjernih aktera <em>COLDRIVER<\/em> i njihovog zlonamjernog softvera <em>LOSTKEYS<\/em> otkriva sofisticirani lanac napada koji koristi taktike dru\u0161tvenog in\u017eenjeringa, tehnike izbjegavanja i napredne mogu\u0107nosti zlonamjernog softvera kako bi kompromitovao ciljane entitete. Upotreba <em>PowerShell<\/em> k\u00f4da i provjera zasnovanih na rezoluciji ekrana pokazuje razumijevanje modernih mehanizma odbrane i spremnost da se prilagodi novim mjerama u sajber bezbjednosti.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Primjena zlonamjernog softvera <em>LOSTKEYS<\/em> u odabranim slu\u010dajevima sugeri\u0161e ciljani pristup usmjeren na kra\u0111u osjetljivih podataka od odre\u0111enih pojedinaca ili organizacija, uklju\u010duju\u0107i vlade <em>NATO<\/em> saveza, nevladine organizacije, biv\u0161e diplomate i pojedince povezane sa zapadnim vojnim i politi\u010dkim krugovima. Ovaj strate\u0161ki fokus je u skladu sa reputacijom grupe <em>COLDRIVER<\/em> za sprovo\u0111enje rizi\u010dnih sajber operacija u ime ruskih dr\u017eavnih interesa.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Osim toga primjetna je evoluiraju\u0107a priroda ove grupe, jer primjena <em>LOSTKEYS <\/em>zlonamjernog softvera ozna\u010dava odstupanje od njihovih tradicionalnih <em>phishing<\/em> taktika i nagla\u0161ava potrebu za kontinuiranom budno\u0161\u0107u u pra\u0107enju novih prijetnji. Zbog toga je sveobuhvatno razumijevanje taktika, tehnika i procedura <em>COLDRIVER <\/em>zlonamjernih aktera klju\u010dno u ubla\u017eavanju budu\u0107ih napada. Analizom ove kampanje mogu\u0107e je ste\u0107i vrijedne uvide u na\u010din razmi\u0161ljanja zlonamjernih aktera i razvijati efikasnije kontramjere za za\u0161titu od sli\u010dnih prijetnji.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h2><span class=\"ez-toc-section\" id=\"ZASTITA\"><\/span><strong>ZA\u0160TITA<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><span style=\"font-size: 14pt;\">Da bi se efikasno suprotstavili zlonamjernim aktivnostima <em>APT<\/em> grupe <em>COLDRIVER <\/em>koja koristi <em>LOSTKEYS<\/em> zlonamjerni softver, neophodan je vi\u0161eslojni pristup. Evo nekoliko preporuka za za\u0161titu:<\/span><\/p>\n<ol>\n<li><span style=\"font-size: 14pt;\">Organizacije i pojedinci moraju dati prioritet implementaciji sveobuhvatnih bezbjednosnih mjera kako bi se za\u0161titili od sajber prijetnji. Ovo uklju\u010duje redovna a\u017euriranja softvera, jake <a href=\"https:\/\/sajberinfo.com\/2019\/02\/24\/lozinka-password-sifra\/\" target=\"_blank\" rel=\"nofollow noopener\">lozinke<\/a>, autentifikaciju u dva koraka (eng. <em>two-factor authentication \u2013 2FA<\/em>) i bezbjedne prakse kori\u0161tenja elektronske po\u0161te;<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Tehnika \u201c<em>ClickFix<\/em>\u201d koju koriste <em>COLDRIVER<\/em> zlonamjerni akteri oslanja se na prevaru \u017ertvi kako bi ih pokrenuli zlonamjerne <em>PowerShell<\/em> skripte putem la\u017enih <em>CAPTCHA<\/em> izazova ili drugih taktika dru\u0161tvenog in\u017eenjeringa. Edukacija zaposlenih i pojedinaca da budu oprezni prilikom interakcije sa nepoznatim linkovima, prilozima ili zahtevima mo\u017ee zna\u010dajno smanjiti rizik da postanu \u017ertve;<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Redovno pra\u0107enje dolaznih elektronskih poruka radi sumnjivih aktivnosti je klju\u010dno u otkrivanju potencijalnih <em>LOSTKEYS<\/em>. Ovo uklju\u010duje ispitivanje informacija o po\u0161iljaocu, tipova priloga i neobi\u010dnog pona\u0161anja veza;<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Implementacija najsavremenijeg bezbjednosnog softvera koji uklju\u010duje otkrivanje prijetnji zasnovano na vje\u0161ta\u010dkoj inteligenciji mo\u017ee pomo\u0107i u identifikaciji i blokiranju zlonamjernih aktivnosti prije nego \u0161to nanesu \u0161tetu;<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Periodi\u010dna evaluacija sistema, mre\u017ea i aplikacija za potencijalne ranjivosti je neophodna za identifikovanje slabosti koje bi zlonamjerni softver <em>LOSTKEYS<\/em> mogao da iskoristi;<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Implementirati mre\u017enu arhitekturu nultog povjerenja (eng. <em>zero-trust network architecture \u2013 ZTN<\/em>A) koja podrazumijeva provjeru identiteta i autenti\u010dnosti svih korisnika i ure\u0111aja koji poku\u0161avaju da pristupe resursima unutar mre\u017ee. Ovaj pristup mo\u017ee pomo\u0107i u spre\u010davanju bo\u010dnog kretanja i kra\u0111e podataka \u010dak i ako zlonamjerni akter dobije po\u010detni pristup;<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Koristiti \u0161ifrovanje od kraja do kraja (<em> end-to-end encryption \u2013 E2EE<\/em>) za osjetljive komunikacije, kao \u0161to su elektronska po\u0161ta ili aplikacije za razmjenu poruka, koje daju prioritet bezbjednosnim funkcijama poput \u0161ifrovanog skladi\u0161tenja i prenosa poruka;<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Razvoj i redovno a\u017euriranje <a href=\"https:\/\/sajberinfo.com\/2020\/10\/26\/plan-odgovora-na-sajber-prijetnju\/\" target=\"_blank\" rel=\"nofollow noopener\">plana odgovora na sajber prijetnju<\/a> osigurava da su organizacije spremne da brzo i efikasno reaguju u slu\u010daju napada. Ovo uklju\u010duje procedure za obuzdavanje, iskorjenjivanje, oporavak i aktivnosti nakon incidenta;<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Implementirati model pristupa sa najmanjim privilegijama (eng. <em>least privilege access model \u2013 LPAM<\/em>) koji podrazumijeva davanje korisnicima minimalnog nivoa privilegija neophodnog za njihove uloge, smanjuju\u0107i <a href=\"https:\/\/sajberinfo.com\/2023\/03\/24\/povrsina-napada-uvod-epizoda-1\/\" target=\"_blank\" rel=\"nofollow noopener\">povr\u0161inu napada<\/a> u slu\u010daju da zlonamjerni akter dobije po\u010detni pristup;<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Implementacija softvera koji prati i analizira pona\u0161anje korisnika mo\u017ee pomo\u0107i u identifikaciji potencijalnih bezbjednosnih prijetnji prije nego \u0161to eskaliraju u potpune napade poput onih koje omogu\u0107ava zlonamjerni softver <em>LOSTKEYS<\/em>;<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Implementirati politiku bezbjednog skladi\u0161tenja podataka, osiguravaju\u0107i da se osjetljive informacije bezbjedno \u010duvaju, uz odgovaraju\u0107e \u0161ifrovanje i kontrole pristupa, smanjuje rizik od neovla\u0161tene kra\u0111e podataka putem <em>LOSTKEYS<\/em> ili drugih zlonamjernih sredstava;<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Odr\u017eavanje operativnih sistema i aplikacija a\u017euriranim osigurava posjedovanje najnovijih bezbjednosnih ispravki, smanjuju\u0107i ranjivosti koje bi zlonamjerni akteri mogli da iskoriste koriste\u0107i zlonamjerni softver poput <em>LOSTKEYS<\/em>;<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Redovna procjena odbrane organizacije putem simuliranih sajber napada mo\u017ee pomo\u0107i u identifikaciji ranjivosti koje bi zlonamjerni akteri mogli da iskoriste koriste\u0107i <em>LOSTKEYS<\/em> ili druge zlonamjerne alate, omogu\u0107avaju\u0107i preduzimanje proaktivnih koraka za ja\u010danje sajber bezbjednosnog polo\u017eaja;<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Kako sve vi\u0161e zaposlenih donosi svoje li\u010dne ure\u0111aje na radno mjesto zbog aran\u017emana rada na daljinu, implementacija bezbjedne politike kori\u0161tenja vlastitih ure\u0111aja (eng. <em>bring your own device \u2013 BYOD<\/em>) mo\u017ee pomo\u0107i u spre\u010davanju napada koji koriste zlonamjerni softver <em>LOSTKEYS<\/em> i sli\u010dne zlonamjerne prijetnje;<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Ako se organizacija oslanja na eksterne partnere za pru\u017eanje kriti\u010dnih usluga, sprovo\u0111enje periodi\u010dnih bezbjednosnih evaluacija mo\u017ee pomo\u0107i da se osigura da te strane odr\u017eavaju robusne prakse sajber bezbjednosti koje su uskla\u0111ene sa bezbjednosnim standardima organizacije;<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Kako se sve vi\u0161e ure\u0111aja povezuje na internet stvari (eng. <em>internet of things \u2013 IoT<\/em>), implementacija politika i procedura za bezbjedno upravljanje ovim ure\u0111ajima je neophodna u spre\u010davanju napada koji koriste zlonamjerni softver <em>LOSTKEYS<\/em> ili sli\u010dne prijetnje.<\/span><\/li>\n<\/ol>\n<p><span style=\"font-size: 14pt;\">Usvajanjem ovih preporuka, organizacije mogu zna\u010dajno smanjiti svoju izlo\u017eenost riziku od zlonamjernog softvera <em>LOSTKEYS<\/em> i drugih sofisticiranih sajber napada.<\/span><\/p>\n","protected":false},"excerpt":{"rendered":"<p>U oblasti sajber prijetnji, LOSTKEYS je vi\u0161e od samo jo\u0161 jednog zlonamjernog alata u arsenalu COLDRIVER zlonamjernih aktera. To predstavlja strate\u0161ku eskalaciju u njihovim naporima da prikupe obavje\u0161tajne podatke, izvuku metapodatke sistema i poremete&#46;&#46;&#46;<\/p>","protected":false},"author":1,"featured_media":7990,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[3072,3075,3070,3073,3076,3069,1457,2623,3077,3071,3074],"class_list":["post-7989","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-hronike","tag-callisto-group","tag-clickfix-attacks","tag-coldriver","tag-data-theft-malware","tag-espionage-campaigns","tag-lostkeys","tag-malware-threat","tag-social-engineering-tactics","tag-spear-phishing-campaigns","tag-star-blizzard","tag-vbs-malware"],"_links":{"self":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts\/7989","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/comments?post=7989"}],"version-history":[{"count":0,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts\/7989\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/media\/7990"}],"wp:attachment":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/media?parent=7989"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/categories?post=7989"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/tags?post=7989"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}