注意!俄罗斯恶意软件“丢失钥匙”可以秘密嵌入个人文件!

雅加达 - 国家支持的俄罗斯黑客组织ColdRiver已知正在使用一种名为LostKeys的新恶意软件来间谍攻击西方实体。谷歌威胁情报小组(GTIG)发现,该工具被用于社交工程计划窃取系统文件和数据。

ColdRiver与俄罗斯联邦安全局(FSB)有联系,美国国务院提供了数百万美元的奖金,用于可以揭露该组织的信息。

网络间谍影子世界现在有了新的参与者:一个名为LostKeys的假冒恶意软件。据谷歌称,自今年年初以来,一个名为ColdRiver的国家黑客组织一直在使用LostKeys来监视西方政府,记者,智库和非政府组织(NGO)。

ColdRiver本身并不是一个新名称。2024年12月,英国与情报联盟“五眼”直接指责该组织是数字间谍活动家。ColdRiver与俄罗斯国内情报和安全机构FSB有直接联系。

GTIG于1月份首次检测到LostKeys。ColdRiver在一项名为ClickFix的目标攻击中使用了此恶意软件。这次攻击基本上是一种带有社会工程技术的数字欺诈,其中受害者被指示运行恶意的PowerShell脚本。

脚本运行后,脚本将下载并执行其他脚本以安装 LostKeys。 此恶意软件被识别为基于视觉基本脚本(VBS)的数据窃贼恶意软件,该恶意软件能够提取某些文件和文件夹,发送系统信息以及向攻击的服务器运行其他命令。

通常,ColdRiver窃取登录凭据以访问电子邮件和受害者联系人列表。但是,他们还使用另一个名为SPICA的恶意软件窃取文档。LostKeys似乎用于更具体和有选择性的案例,使其成为ColdRiver情报操作中的特殊工具。

有趣的是,ColdRiver并不是唯一一个使用ClickFix方法的群体。其他国家赞助的群体,如Kimsuky(朝鲜),MuddyWater(伊朗)和其他俄罗斯演员,如APT28和UNK_RemoteRogue,在最近的间谍活动中也使用了类似的策略。

ColdRiver,也被称为Star Blizzard和Callisto Group,自2017年以来至少磨练了社交工程和开源情报收集的能力。他们的目标包括国防组织、政府和政治人物。自俄罗斯入侵乌克兰以来,他们的攻势急剧增加,甚至扩大到国防工业设施和美国能源部。

美国政府已制裁了几名ColdRiver成员,其中包括一名涉嫌FSB官员。目前,美国当局正在为任何可以提供信息以跟踪其他成员的人提供高达1000万美元(1658亿印尼盾)的巨额奖励 - 表明该组织构成的威胁是多么严重。