Google twierdzi, iż rosyjska państwowa grupa APT znana jako Star Blizzard wykorzystuje nowy backdoor w atakach po tym, jak jej złośliwe oprogramowanie LostKeys zostało opisane w publicznym raporcie w czerwcu. O podobnych atakach możesz przeczytać tutaj.
Grupa jest aktywna od co najmniej 2019 roku i znana również pod nazwami Callisto, ColdRiver, Seaborgium oraz UNC4057. Została publicznie powiązana z rosyjską Federalną Służbą Bezpieczeństwa (FSB) przez Stany Zjednoczone w grudniu 2023 roku.
W czerwcowym raporcie Google szczegółowo opisało, w jaki sposób członkowie APT wykorzystywali technikę ClickFix do dostarczania złośliwego systemu LostKeys w ramach wieloetapowego łańcucha infekcji, który obejmował również użycie skryptu PowerShell pierwszego etapu.
Jak informuje Google, w ciągu kilku dni od opublikowania raportu Star Blizzard zaczął wykorzystywać nowe rodziny złośliwego systemu w atakach i nigdy więcej nie wdrożył LostKeys. Hakerzy porzucili również łańcuch infekcji PowerShell, decydując się zamiast tego na uruchomienie przez ofiarę złośliwej biblioteki DLL za pośrednictwem rundll32.
Jak atakują hakerzy?
We wrześniu Zscaler przedstawił analizę niedawnych ataków Star Blizzard. Przestępcy przez cały czas wykorzystują ClickFix do infekcji: ofiary są zwabiane na strony podszywające się pod źródła informacji dla przedstawicieli społeczeństwa obywatelskiego i ośrodków analitycznych w Rosji i nakłaniane do wykonywania złośliwych poleceń w oknie Uruchom systemu Windows.
Polecenia te powodują pobranie złośliwej biblioteki DLL przez system ofiary. Nazwana przez Google NoRobot (a przez Zscaler BaitSwitch) biblioteka DLL została zaprojektowana w celu pobrania ładunku kolejnego etapu i zapewnienia trwałości.
Wcześniejsze wersje NoRobota, jak twierdzi Google, pobierały backdoora Pythona o nazwie YesRobot, który miał ograniczoną funkcjonalność i utrudniał implementację typowych funkcji backdoora.
W związku z tym grupa APT porzuciła YesRobota na rzecz nowego backdoora MaybeRobot (określanego przez Zscaler jako SimpleFix), również wdrożonego za pośrednictwem NoRobot.
Wdrożony jako mocno ukryty skrypt programu PowerShell malware obsługuje trzy polecenia udostępniane przez operatora. Na ich podstawie może wykonywać pliki, polecenia i bloki programu PowerShell.
MaybeRobot, prawdopodobnie stworzony w celu zastąpienia YesRobota i oferujący większą elastyczność w wykonywaniu działań na zainfekowanych systemach, ma minimalną wbudowaną funkcjonalność i przez cały czas wymaga operatora do wykonywania bardziej złożonych akcji.
W okresie od maja do września 2025 roku Star Blizzard wprowadził wiele zmian w NoRobot, koncentrując się na unikaniu wykrycia, i zaktualizował swój łańcuch infekcji, przechodząc do wdrożenia MaybeRobota jako ostatniego etapu.
„W tym okresie firma Coldriver uprościła swój łańcuch infekcji złośliwym oprogramowaniem i wdrożyła podstawowe techniki unikania, takie jak rotacyjne stosowanie konwencji nazewnictwa plików i infrastruktury, ścieżek pobierania plików, sposobu konstruowania tych ścieżek, a także zmianę nazwy eksportu i nazwy biblioteki DLL” – wyjaśnia Google.
