Uzun süredir yüksek profilli STK’ları, politika danışmanlarını ve muhalifleri hedef almasıyla tanınan Rus devlet destekli tehdit aktörü COLDRIVER, Mayıs 2025’te LOSTKEYS kötü amaçlı yazılımının kamuya açıklanmasının ardından hızla gelişen bir kötü amaçlı yazılım kampanyasıyla ilişkilendirildi.
LOSTKEYS’in ayrıntıları ortaya çıktıktan sonra COLDRIVER (UNC4057, Star Blizzard ve Callisto olarak da takip ediliyor) ele geçirilen kötü amaçlı yazılımdan uzaklaştı.
GTIG araştırmacıları, ifşa sonrasında LOSTKEYS’in tek bir örneğini bile gözlemlemedi; bu, grubun çevikliğinin bir kanıtıdır.
GTIG’nin son raporlarına ve Zscaler’in destekleyici analizlerine göre, bu açığa çıktıktan sonraki sadece beş gün içinde COLDRIVER, taktikleri ve araçları eşi benzeri görülmemiş bir hızda değiştirerek yeni kötü amaçlı yazılım ailelerini faaliyete geçirdi.
Bunun yerine COLDRIVER, halihazırda birçok geliştirme sürecinden geçmiş, birbirine bağlı kötü amaçlı yazılım ailelerini içeren çeşitli bir araç setini dağıtmaya başladı.
Bu amansız hız, grubun hedef ortamlara erişimi sürdürme ve savunma önlemlerinden kaçınma konusundaki kararlılığını vurguluyor.
Yeniden düzenlenen bu cephaneliğin merkezinde NOROBOT adlı kötü amaçlı bir DLL bulunuyor. Kullanıcı etkileşimini teşvik etmek için bir CAPTCHA mücadelesi gibi görünen güncellenmiş bir “ClickFix” cazibesi aracılığıyla sunulan NOROBOT, sabit kodlanmış komuta ve kontrol (C2) sunucularından ek kötü amaçlı aşamaları almak üzere tasarlandı.
Bu, COLDRIVER’ın karmaşık PowerShell zincirlerine olan önceki güveninden bir değişime işaret ediyor; artık kullanıcıları rundll32 ile bir DLL çalıştırmaları için kandırmayı tercih ediyor ve bazı geleneksel güvenlik kontrollerini etkili bir şekilde atlatıyor.
Enfeksiyon Zinciri ve NOROBOT’un Rolü
Yeni saldırı zinciri, hedeflerin sahte bir CAPTCHA sayfasıyla etkileşime girmesiyle başlıyor ve bu sayfa, onları “iamnotarobot.dll” olarak gizlenmiş bir DLL dosyasını çalıştırmaya yönlendiriyor.
Bu DLL, NOROBOT (Zscaler tarafından BAITSWITCH olarak da adlandırılır), Mayıs’tan Eylül 2025’e kadar gözlemlenen örneklerle, enfeksiyon oranlarını en üst düzeye çıkarmayı amaçlayan basitleştirilmiş dağıtım ile analizi engellemek için kriptografik anahtarların birden fazla bileşene bölünmesi gibi yenilenen karmaşıklık arasındaki itme kuvvetini ortaya çıkaran sürekli bir geliştirme aşamasındadır.
NOROBOT’un ilk sürümleri, gürültülü bir Python arka kapısı olan YESROBOT’un konuşlandırılmasına yol açacaktı. Bu arka kapı işlevsel olmasına rağmen hantaldı ve tam bir Python kurulumu gerektiriyordu, bu da tespit riskini artırıyordu.
GTIG, COLDRIVER onu Python ihtiyacını ortadan kaldıran ve daha çok yönlü bir komut protokolüne sahip olan MAYBEROBOT (veya SIMPLEFIX) adlı daha çevik PowerShell tabanlı bir arka kapıyla değiştirmeden önce YESROBOT’un yalnızca kısa bir kullanımını gözlemledi.
COLDRIVER’ın geliştirme temposu hızlandı. NOROBOT’un her bir çeşidi ince değişiklikler içerir: altyapının döndürülmesi, dosya adlarının ve dışa aktarma işlevlerinin değiştirilmesi ve enfeksiyon zincirindeki adımların eklenmesi veya kaldırılması.
Bu ayarlamalar hem tespitten kaçınmaya hem de olaya müdahaleyi zorlaştırmaya hizmet eder. Bazı adımları basitleştirmek, savunucuların faaliyetlerini takip etmesini kolaylaştırsa da grup, operasyonel güvenlik için gerektiğinde kripto anahtarlarını birden fazla dosyada birleştirmek gibi karmaşıklığı yeniden kullanma konusunda ustalığını sürdürüyor.
Özellikle son arka kapı MAYBEROBOT’un sabit kalması, COLDRIVER’ın gizlilik ve esneklik dengesinden memnun olduğunu gösteriyor. Bu aynı zamanda ana odak noktalarının enfeksiyon zincirini güçlendirmeye, yayından kaldırmalara ve analizlere karşı dayanıklılığı artırmaya yöneldiği anlamına da geliyor.
Kimlik Avı, Kötü Amaçlı Yazılım ve Topluluk Savunması
Geçmişte COLDRIVER kimlik avı saldırılarını tercih ediyordu. Kötü amaçlı yazılım dağıtımını yoğunlaştırmanın nedenleri belirsizliğini koruyor, ancak araştırmacılar bu yaklaşımın özellikle yüksek değerli hedeflere yönelik olabileceğini ve ilk hesap ihlallerinden sonra cihaz düzeyinde istihbarat arayışına girebileceğini düşünüyor.
Savunma önlemleri de birlikte gelişiyor: Google’ın müdahalesinin bir parçası olarak, Güvenli Tarama’ya kötü amaçlı altyapı ve örnekler ekleniyor ve risk altındaki Gmail ve Workspace kullanıcılarına tehdit bildirimleri gönderiliyor.
Güvenlik profesyonellerinin, ortak risk göstergelerini (IOC’ler) ve YARA kurallarını incelemeleri ve tehdit istihbaratı beslemeleri aracılığıyla yeni ortaya çıkan COLDRIVER kampanyaları hakkında güncel bilgilere sahip olmaları teşvik edilmektedir.
COLDRIVER’ın taktikleri gelişmeye devam ettikçe, savunucuların da aynı şekilde uyum sağlamaları, hem geleneksel tuzaklara hem de artık Rus devleti casusluk operasyonlarını yürütmek için kullanılan giderek karmaşıklaşan kötü amaçlı yazılım zincirlerine karşı tetikte kalmaları gerekiyor.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.