注意!ロシアのマルウェア「LostKeys」は秘密裏に個人ファイルを挿入することができます!

ジャカルタ-国営のロシアのハッカーグループであるColdRiverは、西側のエンティティに対するスパイ攻撃でLostKeysと呼ばれる新しいマルウェアを使用していることが知られています。Googleの脅威インテリジェンスグループ(GTIG)チームは、このツールがソーシャルエンジニアリングスキームでシステムのファイルやデータを盗むために使用されていることを発見しました。

ColdRiverはロシア連邦保安局(FSB)とつながりがあり、米国国務省は、グループを明らかにする可能性のある情報に対して数百万ドルの報酬を提供しています。

サイバースパイの影の世界には、LostKeysと呼ばれる滑らかなマルウェアという新しいプレーヤーがいます。Googleによると、ColdRiverと呼ばれる州のハッカーグループは、今年初めからLostKeysを使用して、西側の政府、ジャーナリスト、シンクタンク、非政府組織(NGO)をスパイしています。

ColdRiver自体は新しい名前ではありません。2024年12月、イギリスは諜報同盟「ファイブアイズ」とともに、このグループをデジタルスパイ行為の加害者として直接非難した。ColdRiverは、ロシアの国内諜報・安全保障機関であるFSBと直接関係しています。

GTIGは1月にLostKeysを最初に検出しました。このマルウェアは、ColdRiverがクリックフィックスと題された標的型攻撃で使用したものです。この攻撃は基本的にソーシャルエンジニアリング技術によるデジタル詐欺であり、被害者は悪意のあるPowerShellスクリプトを実行するように説得されます。

実行されると、スクリプトはLostKeysをインストールするための追加のスクリプトをダウンロードして実行します。マルウェアは、特定のファイルやフォルダを抽出し、システム情報を送信し、攻撃者のサーバーに追加のコマンドを実行できる、VBSベースのデータ盗難マルウェアとして識別されます。

通常、ColdRiverはログイン資格情報を盗み、被害者の電子メールや連絡先リストにアクセスします。ただし、SPICAと呼ばれる別のマルウェアを使用してドキュメントを盗んだことも知られています。LostKeysは、より具体的かつ選択的なケースで使用されているように見え、ColdRiverのインテリジェンス操作における特別なツールとなっています。

興味深いことに、ColdRiverは klikFixメソッドを使用する唯一のグループではありません。キムスキー(北朝鮮)、マディウォーター(イラン)、APT28やUNK_RemoteRogueなどの他のロシアのアクターなどの他の国家支援グループも、最近のスパイキャンペーンで同様の戦術を使用しています。

スターブリザードやカリストグループなどの他の名前でも知られるコールドリバーは、少なくとも2017年からソーシャルエンジニアリングとオープンソースの情報収集の能力を磨いてきました。彼らの標的には、国防組織、政府、政治家が含まれます。彼らの攻撃は、ロシアのウクライナ侵攻以来急激に増加し、防衛産業施設や米国エネルギー省にも及んでいる。

米国政府は、FSB将校と疑われるメンバーを含む数人のコールドライバーメンバーに制裁を課している。現在、米国当局は、他のメンバーを追跡するための情報を提供できる人に対して、最大1,000万ドルの巨額の報酬を提供しています - このグループがどれほど深刻な脅威をもたらしているかを示しています。