2025年5月7日,谷歌威胁情报团队报告称,俄罗斯支持的网络间谍组织COLDRIVER已开发出名为“LOSTKEYS”的新型恶意软件。这款恶意软件标志着该组织从传统网络钓鱼策略向更高级网络攻击的转变。
LOSTKEYS恶意软件的主要功能:
数据外泄: LOSTKEYS旨在从受感染系统上的特定扩展和目录窃取文件。
系统监控: 该恶意软件收集详细的系统信息并监控运行中的进程,并将这些数据传回COLDRIVER服务器。
复杂的部署流程:
诱饵网站向用户展示假CAPTCHA。
PowerShell脚本下载到用户剪贴板。
脚本执行,检索最终有效载荷。
恶意软件安装到系统中。
谷歌已将IP地址“165.227.148[.]68”与此次恶意活动联系起来,并将相关恶意网站添加到其安全浏览功能中以保护用户。
关于COLDRIVER的背景:
COLDRIVER,又称Blue Callisto、BlueCharlie和Star Blizzard,至少自2019年以来活跃。该组织与俄罗斯联邦安全局有关,因针对NATO附属机构、非政府组织和记者等西方高层个人和组织而闻名,其行动主要集中在支持俄罗斯战略利益的信息收集。
2025年初,COLDRIVER将目标锁定在西方政府顾问、军方人员和与乌克兰有关的个人。早在2022年,该组织曾入侵三家美国核研究实验室,并泄露前英国情报主管理查德·迪尔洛夫和支持脱欧人士的电子邮件。
影响:
LOSTKEYS的出现凸显了国家支持的网络行为者带来的不断演变的威胁态势。建议各组织,尤其是政府和非政府部门,加强网络安全措施,警惕网络钓鱼,并及时更新系统以降低潜在漏洞。