Google Tehdit İstihbarat Grubu (GTIG), UNC4057, Star Blizzard ve Callisto olarak da bilinen Rus hükümet destekli tehdit oyuncusu Coldriver’a atfedilen sofistike yeni kötü amaçlı yazılımlar ortaya çıkardı.
En azından Aralık 2023’ten beri aktif olarak, Ocak, Mart ve Nisan 2025’te gözlemlenen önemli kampanyalarla LostKeys, tarihsel olarak NATO hükümetleri, STK’lar, gazeteciler, gazeteciler, düşünce kuruluşları ve eski istihbarat memurları gibi yüksek değerli hedeflere karşı kimlik bilgisi kimlik avına odaklanan Coldriver’ın araç setinde dikkate değer bir evrimi temsil ediyor.
Bu kötü amaçlı yazılımlar, hasat sistemi bilgilerinin ve çalıştırma süreçlerinin yanı sıra belirli uzantılardan ve dizinlerden gelen dosyaları, özellikle Ukrayna veya Batı hükümetleriyle bağlantılı olanlar için ciddi bir tehdit oluşturmak için tasarlanmıştır.
.png
)
GTIG, Coldriver’ın birincil hedefinin, İngiltere yetkililerini ve STK’ları hedefleyen geçmiş kampanyalarda görüldüğü gibi, bazen hack ve sızıntı operasyonlarına yükselen Rusya’nın stratejik çıkarlarıyla uyumlu istihbarat toplama gibi göründüğünü belirtiyor.
Çok aşamalı enfeksiyon zinciri tespitten kaçınır
Kayıpkeylerin konuşlandırılması, aldatıcı bir cazibeyle başlayan karmaşık, çok aşamalı bir enfeksiyon zincirini takip eder-kötü niyetli bir web sitesinde sahte bir captcha.
Bir kullanıcı captcha’yı “doğruladığında”, PowerShell kodu panolarına kopyalanır ve bunu, genellikle gelişmiş kalıcı tehditler (APT’ler) ve finansal olarak motive edilen aktörler tarafından kullanılan “ClickFix” olarak bilinen Windows “Run” iletişim kutusu aracılığıyla yürütmeleri istenir.
İlk PowerShell komut dosyası, sert kodlanmış bir IP’den ikinci aşamalı bir yük getiriyor (165.227.148[.]68), belirli değerler algılanırsa, sanal makinelerde (VM) yürütmeyi durdurmak için ekran çözünürlüğünün MD5 karmasını hesaplayarak cihaz kaçırma taktiklerini kullanan.
Sonraki aşamalar, son Lostkeys yükünü çözmek için enfeksiyon zinciri başına benzersiz ikame şifre anahtarları kullanarak baz64 kodlu PowerShell komut dosyalarının ve Visual Basic betiği (VBS) kod çözücüsünün alınmasını içerir.
Bu karmaşık süreç, Coldriver’ın tespit ve analizden kaçınma çabalarının altını çizerek kötü amaçlı yazılımların yalnızca yüksek değerli hedefleri seçmek için dağıtılmasını sağlıyor.
GTIG ayrıca Aralık 2023’ten itibaren Maltego yazılımını taklit eden taşınabilir yürütülebilir (PE) dosyaları olarak gizlenmiş eski Lostkeys örneklerini de tespit etti, ancak Coldriver ile doğrudan bağlantıları araştırılıyor.
Bu tür tehditlere karşı koymak için Google, risk altındaki Gmail ve çalışma alanı kullanıcılarına güvenli tarama, devlet destekli saldırgan uyarıları yayınlamaya entegre etti ve Chrome’da normal cihaz güncellemelerinin yanı sıra gelişmiş güvenli tarama yapılmasını öneriyor.
Uzlaşma Göstergeleri (IOCS)
| Tanım | Gösterge |
|---|---|
| Aşama 1 – Sahte Captcha Powershell | 13F759C94B9D4B028CE02397717A128 |
| Aşama 2 – Cihaz Kaçışı | 4C7ACBA35EDD646584B5A40AB78F96 |
| Aşama 3 – Yük Alma Anahtarı | 6B85D707C23D68F9518E757CC97ADB20 |
| Kod çözücü komut dosyası anahtarı | 32368d2e4a80b17e6357177b53539d |
| Nihai Yük (kodlanmış) | 6bc411d562456079a8f1e3f3473c33a |
| Nihai yük (kod çözülmüş) | 28A0596B9C62B7B7ACA9CAC2A07B0671 |
| C2 Sunucu IP | 165.227.148[.]68 |
| C2 Alanı | CloudMediaportal[.]com |
| C2 Etki Alanı (Aralık 2023) | açlık[.]dev |
| C2 IP (Aralık 2023) | 80.66.88[.]67 |
SOC ekibini kurmak mı? -SOC ekibiniz için ücretsiz Ultimate SIEM Fiyatlandırma Kılavuzu’nu (PDF) indirin -> Ücretsiz İndir