2025年5月7日、GoogleのThreat Intelligenceチームは、ロシア支援のサイバー諜報グループCOLDRIVERが「LOSTKEYS」と名付けた新型マルウェアを開発したと報告しました。このマルウェアは、従来のフィッシング戦術から高度なサイバー攻撃への転換を示しています。
LOSTKEYSマルウェアの主な特徴:
データ抽出: 感染システム内の特定の拡張子やディレクトリからファイルを盗み出すよう設計されています。
システム監視: 詳細なシステム情報を収集し、実行中のプロセスを監視してCOLDRIVERのサーバーに送信します。
高度な展開方法:
誘導サイトがユーザーに偽のCAPTCHAを表示。
PowerShellスクリプトがクリップボードにダウンロード。
スクリプトが実行され、最終ペイロードを取得。
マルウェアがシステムにインストール。
Googleは、この悪意ある活動に関連してIPアドレス「165.227.148[.]68」を特定し、該当する悪性サイトをSafe Browsing機能に追加してユーザーを保護しています。
COLDRIVERの背景:
COLDRIVERはBlue Callisto、BlueCharlie、Star Blizzardの別名でも知られ、少なくとも2019年から活動しています。グループはロシア連邦保安庁(FSB)と関連し、NATO関係者、NGO、ジャーナリストなど西側の著名な個人や組織を標的に情報収集を行っています。
2025年初頭には、西側政府の顧問、軍関係者、ウクライナ関係者を狙って活動していました。2022年には、米国の核研究所3カ所への侵入や、元英国情報機関長官リチャード・ディアラブおよび親ブレグジット派のメール流出を引き起こしました。
影響:
LOSTKEYSの登場は、国家支援のサイバー攻撃者による脅威環境の変化を浮き彫りにします。政府機関や非政府組織などの組織は、サイバーセキュリティ対策を強化し、フィッシングの警戒を怠らず、システムを常に最新に保つことが推奨されます。