详细内容或原文请订阅后点击阅览
LOSTKEYS 曝光后,与俄罗斯相关的 COLDRIVER 加速了恶意软件的演变
谷歌表示,与俄罗斯相关的 COLDRIVER 自 2025 年 5 月以来迅速发展其恶意软件,在发布 LOSTKEYS 变体几天后改进了工具。自 2025 年 5 月 LOSTKEYS 恶意软件曝光以来,与俄罗斯有关的黑客组织 COLDRIVER 一直在快速升级其恶意软件。据谷歌威胁情报小组称,黑客一直在频繁推出更新和 [...]
来源:Security Affairs _恶意软件LOSTKEYS 曝光后,与俄罗斯相关的 COLDRIVER 加速了恶意软件的演变
谷歌表示,与俄罗斯相关的 COLDRIVER 自 2025 年 5 月以来迅速发展其恶意软件,在发布 LOSTKEYS 变体几天后改进了工具。
自 2025 年 5 月 LOSTKEYS 恶意软件曝光以来,与俄罗斯有关的黑客组织 COLDRIVER 一直在快速升级其恶意软件。据谷歌威胁情报小组称,黑客一直在频繁推出更新和改进。
冷河 丢失钥匙ColdRiver APT(又名“Seaborgium”、“UNC4057”、“Callisto”、“Star Blizzard”、“TA446”)是一个俄罗斯网络间谍组织,至少自 2015 年以来一直以政府官员、军事人员、记者和智库为目标。
冷河 海藻据谷歌威胁情报小组(GTIG)称,该组织的新工具发展迅速,表现出更快的开发速度和激进的操作。
与俄罗斯相关的 APT 开始使用名为 NOROBOT 的新恶意 DLL 重新调整其操作,该 DLL 通过伪装成验证码的更新版 COLDCOPY“ClickFix”诱饵进行传输。与旧版基于 PowerShell 的感染不同,此版本会诱骗用户通过 rundll32 启动恶意软件。
第一个 NOROBOT 版本删除了一个名为 YESROBOT 的 Python 后门,但该组织很快用一个名为 MAYBEROBOT 的更灵活的 PowerShell 变体取代了它。
从那时起,COLDRIVER 不断完善 NOROBOT,简化链条以提高成功率,然后通过分割加密密钥重新引入复杂性以增加检测难度。这些变化表明该组织决心隐藏并保持对高价值情报目标的访问。
陈述 GTIG 的报告从 2025 年 6 月到 9 月,GTIG 观察到 COLDRIVER 加强了 NOROBOT 恶意软件的开发。简化的版本使跟踪变得更容易,而后来的变体重新引入了加密密钥和多阶段下载步骤以阻碍分析。
在 Twitter 上关注我:@securityaffairs、Facebook 和 Mastodon
@securityaffairs 脸书