雅加达 - 国家支持的俄罗斯黑客组织ColdRiver已知正在使用一种名为LostKeys的新恶意软件来间谍攻击西方实体。谷歌威胁情报小组(GTIG)发现,该工具被用于社交工程计划窃取系统文件和数据。
ColdRiver与俄罗斯联邦安全局(FSB)有联系,美国国务院提供了数百万美元的奖金,用于可以揭露该组织的信息。
网络间谍影子世界现在有了新的参与者:一个名为LostKeys的假冒恶意软件。据谷歌称,自今年年初以来,一个名为ColdRiver的国家黑客组织一直在使用LostKeys来监视西方政府,记者,智库和非政府组织(NGO)。
ColdRiver本身并不是一个新名称。2024年12月,英国与情报联盟“五眼”直接指责该组织是数字间谍活动家。ColdRiver与俄罗斯国内情报和安全机构FSB有直接联系。
GTIG于1月份首次检测到LostKeys。ColdRiver在一项名为ClickFix的目标攻击中使用了此恶意软件。这次攻击基本上是一种带有社会工程技术的数字欺诈,其中受害者被指示运行恶意的PowerShell脚本。
脚本运行后,脚本将下载并执行其他脚本以安装 LostKeys。 此恶意软件被识别为基于视觉基本脚本(VBS)的数据窃贼恶意软件,该恶意软件能够提取某些文件和文件夹,发送系统信息以及向攻击的服务器运行其他命令。
通常,ColdRiver窃取登录凭据以访问电子邮件和受害者联系人列表。但是,他们还使用另一个名为SPICA的恶意软件窃取文档。LostKeys似乎用于更具体和有选择性的案例,使其成为ColdRiver情报操作中的特殊工具。
有趣的是,ColdRiver并不是唯一一个使用ClickFix方法的群体。其他国家赞助的群体,如Kimsuky(朝鲜),MuddyWater(伊朗)和其他俄罗斯演员,如APT28和UNK_RemoteRogue,在最近的间谍活动中也使用了类似的策略。
ColdRiver,也被称为Star Blizzard和Callisto Group,自2017年以来至少磨练了社交工程和开源情报收集的能力。他们的目标包括国防组织、政府和政治人物。自俄罗斯入侵乌克兰以来,他们的攻势急剧增加,甚至扩大到国防工业设施和美国能源部。
美国政府已制裁了几名ColdRiver成员,其中包括一名涉嫌FSB官员。目前,美国当局正在为任何可以提供信息以跟踪其他成员的人提供高达1000万美元(1658亿印尼盾)的巨额奖励 - 表明该组织构成的威胁是多么严重。
The English, Chinese, Japanese, Arabic, and French versions are automatically generated by the AI. So there may still be inaccuracies in translating, please always see Indonesian as our main language. (system supported by DigitalSiber.id)
