🇷🇺 شناسایی سه بدافزار جدید روسی ساخته‌شده توسط گروه هکری COLDRIVER!

⚙️ نحوهٔ حمله

بر خلاف روش معمول COLDRIVER که با هدف سرقت اعتبارنامه از افراد شناخته‌شده (مانند اعضای NGOها، مشاوران سیاست‌گذاری و فعالان مخالف) انجام می‌شد، حملات جدید با ترفندهای جعلی شبیه CAPTCHA کاربران را فریب داده و آن‌ها را وادار می‌کند تا دستورات PowerShell مخرب را در پنجره‌ی Run ویندوز اجرا کنند.

حملات اولیه از ژانویه تا آوریل ۲۰۲۵ منجر به نصب بدافزار LOSTKEYS شد، اما نسخه‌های بعدی، خانواده‌ی جدیدی از بدافزارهای ROBOT را معرفی کردند.

🧩 ساختار زنجیره آلودگی

زنجیره آلودگی با یک فایل HTML به نام COLDCOPY آغاز می‌شود که حاوی فایل DLL با نام NOROBOT است. این فایل توسط rundll32.exe اجرا شده و بدافزار مرحله بعدی را بارگذاری می‌کند.

نسخه‌های اولیه، یک بک‌دور پایتونی با نام YESROBOT را نصب می‌کردند، اما بعدها مهاجمان به یک ایمپ‌لنت PowerShell با نام MAYBEROBOT تغییر مسیر دادند.

• YESROBOT: از طریق HTTPS با سرور فرماندهی (C2) ارتباط می‌گیرد، قادر به دانلود، اجرای فایل‌ها و سرقت اسناد است. تنها دو نمونه از آن تاکنون شناسایی شده است.

• MAYBEROBOT: انعطاف‌پذیرتر بوده و می‌تواند از URL مشخصی فایل دانلود کند، دستورات CMD را اجرا و کد PowerShell را پیاده‌سازی کند.

به گفتهٔ گوگل، احتمالا YESROBOT تنها به‌صورت موقتی و برای پر کردن فاصله بین افشای عمومی LOSTKEYS و انتشار MAYBEROBOT استفاده شده است.