Российские хакеры атакуют через фейковую капчу "Я не робот"

Александр Гайдамашко

Основные тезисы

Российская хакерская группировка, связана с ФСБ, использует новые вредоносные для атак через фейковые CAPTCHA.
Хакеры усовершенствовали методы доставки вредоносного кода, делая их более сложными и менее заметными.

Российские хакеры изобрели новый способ атак через капчу

Связанные с Кремлем хакеры маскируют вредоносное ПО под капчу / Коллаж 24 Канала

Российская хакерская группировка, поддерживаемая государством, активизировала свою деятельность, используя новое семейство вредоносных программ. Злоумышленники применяют сложные цепочки доставки вредоносного кода, которые начинаются с атак социальной инженерии, имитирующих проверку CAPTCHA.

Как работает новая схема кибератак?

Кибершпионская группировка, известна под названиями Star Blizzard, ColdRiver и Callisto, которую связывают с российской ФСБ, перешла к использованию более агрессивных методов атак. Ранее они применяли вредоносное программное обеспечение LostKeys для шпионажа за западными правительствами, журналистами, аналитическими центрами и неправительственными организациями. Однако, как отмечают исследователи, менее чем через неделю после публичного раскрытия деталей о LostKeys, хакеры полностью отказались от этого инструмента, пишет 24 Канал со ссылкой на Bleeping Computer.

На смену пришли новые разработки, в частности NOROBOT, YESROBOT и MAYBEROBOT. Атаки теперь начинаются с так называемых "ClickFix" – фейковых страниц с CAPTCHA. Жертву убеждают, что для подтверждения того, что она не робот, нужно выполнить определенную команду. На самом же деле это действие запускает вредоносный файл NOROBOT.

Изначально NOROBOT использовался для установки полноценной версии Python 3.8 на компьютер жертвы, чтобы подготовить среду для запуска бэкдора YESROBOT. Однако такой метод оказался слишком заметным, поэтому хакеры быстро отказались от него в пользу более скрытого инструмента – MAYBEROBOT. Этот новый бэкдор является PowerShell-скриптом и, по данным компании по кибербезопасности Zscaler, также известен под названием SIMPLEFIX.

С начала июня хакеры начали использовать упрощенную версию NOROBOT для доставки MAYBEROBOT. Этот инструмент имеет три основные функции: загрузка и выполнение кода по указанному URL-адресу, выполнение команд через командную строку и запуск произвольных блоков PowerShell. После выполнения задач программа отправляет результаты на командно-контрольные серверы, что позволяет злоумышленникам оценить успешность операции.

Аналитики Google отмечают, что разработка MAYBEROBOT, похоже, стабилизировалась, и теперь хакеры сосредоточились на совершенствовании NOROBOT, делая его еще более незаметным и эффективным. Они усложнили цепочку доставки, разделив криптографические ключи между несколькими компонентами. Это делает расшифровку финальной вредоносной нагрузки значительно сложнее, если хотя бы один из компонентов отсутствует.

Почему они изменили подход?

Исследователи пока не имеют однозначного ответа, почему группировка перешла от традиционных фишинговых атак к методу "ClickFix". Одно из предположений заключается в том, что хакеры нацеливаются на ранее скомпрометированные системы, из которых уже были похищены электронные письма и контакты. Повторная атака может быть направлена на получение дополнительной разведывательной информации непосредственно с устройств жертв.

Несмотря на попытки заблокировать инфраструктуру группировки, санкции и разоблачения их тактик, Star Blizzard остается активной и постоянно эволюционирующей угрозой,.