7 мая 2025 года команда Google Threat Intelligence сообщила, что COLDRIVER, группа кибершпионажа, поддерживаемая Россией, разработала новый вариант вредоносного ПО под названием «LOSTKEYS». Этот вредоносный код демонстрирует переход от традиционных фишинговых тактик группы к более сложным кибератакам.
Ключевые возможности вредоносного ПО LOSTKEYS:
Экспфильтрация данных: LOSTKEYS предназначен для кражи файлов из определенных расширений и каталогов на инфицированных системах.
Мониторинг системы: вредоносное ПО собирает детальную информацию о системе и отслеживает работающие процессы, отправляя эти данные на серверы COLDRIVER.
Сложное развертывание:
Ловушка-сайт демонстрирует пользователю поддельный CAPTCHA.
Скрипт PowerShell загружается в буфер обмена пользователя.
Скрипт выполняется, получая финальную нагрузку.
Вредоносный код устанавливается в систему.
Google определил IP-адрес «165.227.148[.]68» как связанный с этой вредоносной активностью и добавил соответствующие сайты в функцию Safe Browsing для защиты пользователей.
О COLDRIVER:
COLDRIVER, известная также как Blue Callisto, BlueCharlie и Star Blizzard, действует как минимум с 2019 года. Группа связана с Федеральной службой безопасности России и известна атакой на влиятельных западных лиц и организации, включая партнёров НАТО, НПО и журналистов, с целью сбора разведданных в интересах России.
В начале 2025 года COLDRIVER нацелилась на советников западных правительств, военных и лиц, связанных с Украиной. Ранее, в 2022 году, группа ответственна за взлом трех американских ядерных лабораторий и утечку писем бывшего главы британской разведки Ричарда Диарлава и сторонников Brexit.
Последствия:
Появление LOSTKEYS подчёркивает эволюцию угроз со стороны спонсируемых государством киберакторов. Организациям, особенно в государственном и некоммерческом секторах, рекомендуется усилить меры кибербезопасности, быть бдительными перед фишинговыми попытками и поддерживать системы в актуальном состоянии.