LOSTKEYS惡意軟體
與俄羅斯有關的威脅行為者 COLDRIVER 已經擴展了其工具包,超越了傳統的憑證網路釣魚活動。最近,該組織被發現在有針對性的間諜活動中部署了一種名為 LOSTKEYS 的新型惡意軟體。這是繼SPICA之後,第二個與 COLDRIVER 相關的自訂惡意軟體。 COLDRIVER 還以 Callisto、 Star Blizzard和 UNC4057 等別名進行追踪,因憑證盜竊、電子郵件洩露和聯繫人列表收集而臭名昭著。現在,它的劇本包括選擇性部署惡意軟體來存取系統檔案和資料。
目錄
LOSTKEYS 揭秘:一種隱密且有針對性的威脅
LOSTKEYS 旨在秘密竊取敏感訊息,包括特定目錄中的檔案、正在運行的進程和系統詳細資訊。該行動已於2025年1月、3月和4月部署。目標包括西方政府和軍隊的現任和前任顧問、記者、智庫、非政府組織和與烏克蘭有關的個人。值得注意的是,該惡意軟體似乎是選擇性地部署的,強調其在高度針對性的攻擊中的使用。
社會工程學 2.0:ClickFix 連接
感染鏈始於誘餌網站上的虛假 CAPTCHA 提示。受害者被誘騙打開 Windows 運行對話框並貼上複製到剪貼簿的 PowerShell 命令——這種方法稱為 ClickFix。該命令從遠端伺服器取得第二階段下載程序,然後提供第三階段的 PowerShell 腳本。腳本在主機上執行 LOSTKEYS,同時逃避虛擬環境中的偵測。
重新利用的惡意軟體還是早期測試?
安全研究人員發現了可追溯到 2023 年 12 月的 LOSTKEYS 樣本,這些樣本模仿了開源調查平台 Maltego 的二進位。目前尚不清楚這些是該惡意軟體的早期測試版本還是在 2025 年確認部署之前的無關用途。
ClickFix 的廣泛採用和有害影響
ClickFix 技術在各類惡意軟體傳播威脅者中越來越受歡迎。兩個值得注意的例子包括:
- Lampion銀行木馬:透過帶有 ZIP 附件的網路釣魚電子郵件進行傳播。惡意軟體內部的 HTML 檔案會將受害者重新導向到帶有 ClickFix 指令的虛假 CAPTCHA 頁面,從而啟動針對政府、金融和交通等葡萄牙語產業的多階段感染。
MacReaper:利用合法網站漏洞進行廣泛傳播的惡意活動
進一步調查顯示,Atomic Stealer 活動與代號為 MacReaper 的大規模水坑攻擊有關。近 2,800 個合法網站遭到入侵,並顯示虛假的 CAPTCHA 提示。這些攻擊使用混淆的 JavaScript、全螢幕 iframe 和基於區塊鏈的基礎設施來逃避檢測並最大限度地增加感染。
