Rusya bağlantılı bilgisayar korsanlığı grubuna atfedilen yeni bir kötü amaçlı yazılım SOĞUK SÜRÜCÜ Mayıs 2025’ten bu yana çok sayıda geliştirme aşamasından geçti ve bu da tehdit aktörünün “operasyon temposunun” arttığını gösteriyor.
Bulgular Google Tehdit İstihbarat Grubu’ndan (GTIG) geldi ve devlet destekli bilgisayar korsanlığı ekibinin, LOSTKEYS kötü amaçlı yazılımının aynı anda yayınlanmasından yalnızca beş gün sonra kötü amaçlı yazılım cephaneliğini hızla iyileştirip yeniden düzenlediğini söyledi.
Yeni kötü amaçlı yazılım ailelerinin ne kadar süredir geliştirilme aşamasında olduğu şu anda bilinmemekle birlikte, teknoloji devinin tehdit istihbarat ekibi, açıklanmasından bu yana tek bir LOSTKEYS örneği gözlemlemediğini söyledi.
GTIG araştırmacısı Wesley Shields Pazartesi günü yaptığı bir analizde, kod adı NOROBOT, YESROBOT ve MAYBEROBOT olan yeni kötü amaçlı yazılımın “bir dağıtım zinciri aracılığıyla birbirine bağlanan ilgili kötü amaçlı yazılım ailelerinin bir koleksiyonu” olduğunu söyledi.
En son saldırı dalgaları, COLDRIVER’ın, kimlik bilgileri hırsızlığı için STK’lardaki yüksek profilli kişileri, politika danışmanlarını ve muhalifleri hedef almayı içeren tipik çalışma tarzından biraz farklı. Buna karşılık, yeni etkinlik, sahte bir CAPTCHA doğrulama isteminin bir parçası olarak kullanıcıları Windows Çalıştır iletişim kutusu aracılığıyla kötü amaçlı PowerShell komutlarını çalıştırmaya kandırmak için ClickFix tarzı yemlerden yararlanma etrafında dönüyordu.
Ocak, Mart ve Nisan 2025’te tespit edilen saldırılar, LOSTKEYS olarak bilinen bilgi hırsızlığı yapan bir kötü amaçlı yazılımın yayılmasına yol açarken, daha sonraki izinsiz girişler “ROBOT” kötü amaçlı yazılım ailesinin yolunu açtı. NOROBOT ve MAYBEROBOT kötü amaçlı yazılım ailelerinin Zscaler ThreatLabz tarafından sırasıyla BAITSWITCH ve SIMPLEFIX adları altında takip edildiğini belirtmekte fayda var.
Yeni enfeksiyon zinciri, NOROBOT adlı bir DLL’yi bırakmak üzere tasarlanan ve daha sonra sonraki aşamadaki kötü amaçlı yazılımı bırakmak için rundll32.exe aracılığıyla çalıştırılan COLDCOPY adlı bir HTML ClickFix cazibesi ile başlıyor. Bu saldırının ilk versiyonlarının, tehdit aktörlerinin MAYBEROBOT adlı bir Powershell implantına geçmeden önce, YESROBOT olarak bilinen bir Python arka kapısını dağıttığı söyleniyor.
YESROBOT, sabit kodlu bir komut ve kontrol (C2) sunucusundan komutları almak için HTTPS’yi kullanır. Minimal bir arka kapıdır; dosyaları indirme ve yürütme ve ilgilenilen belgeleri alma yeteneğini destekler. Bugüne kadar YESROBOT dağıtımının yalnızca iki örneği gözlemlendi; özellikle de LOSTKEYS’in ayrıntıları kamuoyunun bilgisine sunulduktan kısa bir süre sonra, Mayıs ayı sonlarında iki haftalık bir süre boyunca.
Buna karşılık, MAYBEROBOT’un daha esnek ve genişletilebilir olduğu, belirli bir URL’den veri indirme ve çalıştırma, cmd.exe kullanarak komutları çalıştırma ve PowerShell kodunu çalıştırma özellikleriyle donatılmış olduğu değerlendiriliyor.
COLDRIVER aktörlerinin YESROBOT’u muhtemelen kamuya açıklanmaya yanıt olarak bir “geçici mekanizma” olarak dağıtmak için acele ettiklerine ve MAYBEROBOT lehine bundan vazgeçtiklerine inanılıyor çünkü NOROBOT’un en eski sürümü aynı zamanda güvenliği ihlal edilmiş ana bilgisayara tam Python 3.8 kurulumunu indirme adımını da içeriyordu – şüphe uyandırması kaçınılmaz olan “gürültülü” bir yapı.
Google ayrıca, NOROBOT ve MAYBEROBOT kullanımının muhtemelen kimlik avı yoluyla zaten ele geçirilmiş olan önemli hedeflere yönelik olduğunu ve nihai amacın cihazlarından ek bilgi toplamak olduğunu belirtti.
Shields, “NOROBOT ve önceki enfeksiyon zinciri sürekli bir evrime tabi olmuştur; başlangıçta başarılı dağıtım şansını artırmak için basitleştirilmiş, ardından kriptografi anahtarlarını bölerek karmaşıklığı yeniden ortaya çıkarmıştır” dedi. “Bu sürekli gelişme, grubun yüksek değerli hedeflere karşı sürekli istihbarat toplamaya yönelik dağıtım mekanizmaları için tespit sistemlerinden kaçma çabalarını vurguluyor.”
Açıklama, Openbaar Ministerie (OM) olarak bilinen Hollanda Savcılık Servisi’nin, 17 yaşındaki üç erkeğin yabancı bir hükümete hizmet sağladığından şüphelenildiğini ve içlerinden birinin Rus hükümetine bağlı bir hacker grubuyla temas halinde olduğunun iddia edildiğini duyurmasının ardından geldi.
OM, “Bu şüpheli aynı zamanda diğer iki kişiye Lahey’de birden fazla tarihte Wi-Fi ağlarını haritalandırma talimatı verdi” dedi. “Toplanan bilgiler eski şüpheli tarafından ücret karşılığında müvekkil ile paylaşılmıştır ve dijital casusluk ve siber saldırılar için kullanılabilir.”
Şüphelilerden ikisi 22 Eylül 2025’te tutuklanırken, yetkililerin de ifadesi alınan üçüncü şüpheli ise davadaki “rolünün sınırlı olması” nedeniyle ev hapsinde tutuldu.
Hollanda hükümeti organı, “Rus hükümetine bağlı hacker grubuyla temas halinde olan şüpheliye baskı uygulandığına dair henüz bir belirti yok” dedi.