HackerNews 编译,转载请注明出处:
一款与俄罗斯相关黑客组织 COLDRIVER 有关联的新型恶意软件,自 2025 年 5 月以来已历经多次开发迭代。这一现象表明,该威胁行为者的 “行动节奏” 正在加快。
该发现来自谷歌威胁情报团队(GTIG)。该团队表示,这个由国家支持的黑客组织,在同期披露其 LOSTKEYS 恶意软件后仅五天,就迅速改进并重组了其恶意软件库。
目前尚不清楚这些新型恶意软件家族的开发时长,但这家科技巨头的威胁情报团队称,自 LOSTKEYS 被披露后,尚未观察到该恶意软件的任何活动痕迹。
GTIG 研究员韦斯利・希尔兹在周一发布的分析报告中指出,这三款新型恶意软件代号分别为 NOROBOT、YESROBOT 和 MAYBEROBOT,它们 “是一组通过交付链相互关联的恶意软件家族”。
最新的攻击浪潮与 COLDRIVER 以往的惯用手法有所不同。该组织过去常以非政府组织(NGO)的知名人士、政策顾问和持不同政见者为目标,窃取其凭证信息。而此次新活动则采用 “ClickFix 式诱饵”,诱骗用户通过 Windows “运行” 对话框执行恶意 PowerShell 命令,整个过程伪装成虚假的验证码验证提示。
2025 年 1 月、3 月和 4 月发现的攻击活动,最终会部署一款名为 LOSTKEYS 的信息窃取类恶意软件;而后续的入侵活动则为 “ROBOT” 系列恶意软件的传播铺路。值得注意的是,恶意软件家族 NOROBOT 和 MAYBEROBOT 在 Zscaler ThreatLabz 的追踪系统中,分别使用代号 BAITSWITCH 和 SIMPLEFIX。
新的感染链始于一个名为 COLDCOPY 的 HTML 格式 ClickFix 诱饵,其设计用途是释放一个名为 NOROBOT 的 DLL 文件。该 DLL 文件随后通过 rundll32.exe 程序执行,以释放下一阶段的恶意软件。据悉,该攻击的早期版本会传播一个名为 YESROBOT 的 Python 后门,之后威胁行为者转而使用名为 MAYBEROBOT 的 PowerShell 植入程序。
YESROBOT 通过 HTTPS 协议从硬编码的命令与控制(C2)服务器获取指令。作为一款精简型后门,它具备下载并执行文件、获取目标文档的功能。截至目前,仅观察到两起 YESROBOT 部署案例,均发生在 2025 年 5 月末的两周内,而这一时间点恰好在 LOSTKEYS 的细节被公开之后。
与之相比,MAYBEROBOT 被评估为更具灵活性和可扩展性。它具备多项功能,包括从指定 URL 下载并运行有效载荷、通过 cmd.exe 执行命令,以及运行 PowerShell 代码。
研究人员认为,COLDRIVER 组织很可能是为应对 LOSTKEYS 的公开披露,仓促部署 YESROBOT 作为 “临时机制”,随后便弃用该软件转而采用 MAYBEROBOT。原因在于,NOROBOT 的早期版本中还包含一个步骤 —— 在受攻陷主机上完整安装 Python 3.8 环境。这种操作会留下 “明显痕迹”,极易引发怀疑。
谷歌还指出,NOROBOT 和 MAYBEROBOT 的使用对象可能仅限于重要目标。这些目标可能已通过钓鱼攻击被攻陷,而使用这两款恶意软件的最终目的,是从其设备中收集更多情报。
希尔兹表示:“NOROBOT 及其前身感染链一直在不断演变 —— 最初为提高部署成功率而简化设计,之后又通过拆分加密密钥重新增加复杂度。这种持续的开发行为表明,该组织正努力规避检测系统,保护其交付机制,以便继续针对高价值目标开展情报收集活动。”
与此同时,荷兰检察署(Openbaar Ministerie,简称 OM)宣布,三名 17 岁男性涉嫌为某外国政府提供服务。其中一人据称与一个隶属于俄罗斯政府的黑客组织存在联系。
荷兰检察署称:“该嫌疑人还指示另外两人,在海牙市的多个日期对 Wi-Fi 网络进行测绘。前者将收集到的信息有偿分享给客户,而这些信息可被用于数字间谍活动和网络攻击。”
2025 年 9 月 22 日,两名嫌疑人已被逮捕。第三名嫌疑人虽已接受当局讯问,但因在案件中 “角色有限”,目前被处以软禁。
荷兰检察署补充道:“目前尚无迹象表明,与俄罗斯政府下属黑客组织有联系的那名嫌疑人受到了胁迫。”
消息来源:thehackernews;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
