news

مجموعة القراصنة المدعومة من روسيا COLDRIVER تنشر برمجية خبيثة جديدة تستهدف كيانات غربية

Posted on by 365int

في 7 مايو 2025، أبلغ فريق استخبارات التهديدات في جوجل أن COLDRIVER، مجموعة تجسس إلكتروني مدعومة من روسيا، طورت سلالة جديدة من البرمجيات الخبيثة تُدعى «LOSTKEYS». وتشير هذه البرمجية إلى تحول في تكتيكات المجموعة من التصيد الاحتيالي التقليدي إلى هجمات إلكترونية أكثر تطوراً.

الميزات الرئيسية لبرمجية LOSTKEYS الخبيثة:

استخراج البيانات: صُممت LOSTKEYS لسرقة الملفات من امتدادات ومجلدات محددة على الأنظمة المصابة.

مراقبة النظام: تجمع البرمجية معلومات نظامية مفصلة وترصد العمليات الجارية، ثم ترسل هذه البيانات إلى خوادم COLDRIVER.

عملية نشر متطورة:

يعرض موقع خداعي CAPTCHA مزيفة للمستخدم.

يتم تنزيل نص PowerShell إلى الحافظة.

ينفذ النص للحصول على الحمولة النهائية.

تُثبت البرمجية الخبيثة على النظام.

حددت جوجل عنوان IP «165.227.148[.]68» كمرتبط بهذه الأنشطة الضارة، وأضافت المواقع ذات الصلة إلى ميزة التصفح الآمن لحماية المستخدمين.

خلفية عن COLDRIVER:
تعمل COLDRIVER، المعروفة أيضاً بأسماء Blue Callisto وBlueCharlie وStar Blizzard، منذ عام 2019 على الأقل. وترتبط بخدمة الأمن الفيدرالية الروسية وتستهدف شخصيات ومنظمات غربية بارزة، بما في ذلك حلفاء الناتو والمنظمات غير الحكومية والصحفيين، لجمع المعلومات لدعم المصالح الاستراتيجية الروسية.

في أوائل 2025، استهدفت COLDRIVER مستشارين للحكومات الغربية، وعسكريين، وأشخاصاً مرتبطين بأوكرانيا. وفي 2022، كانت مسؤولة عن اختراق ثلاثة مختبرات أبحاث نووية أمريكية وتسريب رسائل إلكترونية من رئيس الاستخبارات البريطاني الأسبق ريتشارد ديرلاف وشخصيات مؤيدة للبريكست.

التبعات:
تبرز برمجية LOSTKEYS التهديد المتطور الذي يشكله الفاعلون الإلكترونيون المدعومون من الدول. يُنصح المؤسسات، خاصة الحكومية وغير الحكومية، بتعزيز إجراءات الأمن السيبراني، والحذر من محاولات التصيد، وتحديث أنظمتها للتخفيف من الثغرات المحتملة.

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *