2025년 5월 7일, 구글의 Threat Intelligence 팀은 러시아 지원 사이버 첩보 그룹 COLDRIVER가 “LOSTKEYS”라는 새 악성코드 변종을 개발했다고 발표했습니다. 이 악성코드는 전통적인 피싱 전술에서 더욱 정교한 사이버 공격으로 전략을 전환했음을 의미합니다.
LOSTKEYS 악성코드 주요 기능:
데이터 탈취: 감염된 시스템의 특정 확장자 및 디렉터리에서 파일을 훔치도록 설계되었습니다.
시스템 감시: 상세한 시스템 정보를 수집하고 실행 중인 프로세스를 모니터링하여 COLDRIVER 서버로 전송합니다.
고급 배포 방식:
유인 사이트에서 가짜 CAPTCHA를 사용자에게 제시합니다.
PowerShell 스크립트가 사용자 클립보드에 다운로드됩니다.
스크립트가 실행되어 최종 페이로드를 가져옵니다.
악성코드가 시스템에 설치됩니다.
구글은 이 악성 활동과 관련된 IP 주소 “165.227.148[.]68”을 확인하고, 해당 악성 사이트들을 Safe Browsing 기능에 추가하여 사용자 보호를 강화했습니다.
COLDRIVER 배경:
COLDRIVER는 Blue Callisto, BlueCharlie, Star Blizzard라는 별명으로도 알려져 있으며, 최소 2019년부터 활동 중입니다. 이 그룹은 러시아 연방보안국(FSB)과 연계되어 있으며, NATO 제휴 기관, NGO, 언론인 등 서방 주요 인물 및 조직을 표적으로 정보 수집을 수행합니다.
2025년 초에는 서방 정부 자문단, 군인, 우크라이나 관련 인사를 표적으로 삼았습니다. 2022년에는 미 핵 연구소 세 곳 침투와 전 영국 정보국장 리처드 디얼러브 및 친브렉시트 인사들의 이메일 유출을 일으켰습니다.
시사점:
LOSTKEYS의 등장은 국가 지원 해커 집단이 제기하는 위협이 진화하고 있음을 보여줍니다. 정부 및 비정부 조직은 사이버보안 조치를 강화하고, 피싱 시도에 경계를 유지하며, 시스템을 최신 상태로 유지해야 합니다.