详细内容或原文请订阅后点击阅览
与俄罗斯连接的Coldriver在最近的攻击中使用了Lostkeys恶意软件
自2025年初以来,与俄罗斯有联系的Coldriver使用LostKeys恶意软件在间谍袭击中窃取了对西方政府和组织的档案。 Google的威胁情报小组发现,Lostkeys是俄罗斯与APT Coldriver使用的一种新恶意软件,在最近的攻击中窃取文件并收集系统信息。 thecoldriverapt(又名“ Seaborgium”,“ Callisto”,“ Star Blizzard”,“ TA446”)是俄罗斯的网络增长组[…]
来源:Security Affairs _恶意软件与俄罗斯连接的Coldriver在最近的攻击中使用了Lostkeys恶意软件
自2025年初以来,与俄罗斯有联系的Coldriver使用LostKeys恶意软件在间谍袭击中窃取了对西方政府和组织的档案。
Google的威胁情报小组发现了Lostkeys,这是俄罗斯链接APT Coldriver使用的一种新恶意软件,在最近的攻击中以窃取文件并收集系统信息。 Coldriver Apt(又名“ Seaborgium”,“ Callisto”,“ Star Blizzard”,“ TA446”)是一个俄罗斯的网络行动团体,至少从2015年起一直针对政府官员,军事人员,记者,记者和智囊团。
Coldriver Coldriver Seaborgium过去,该小组的活动涉及持续的网络钓鱼和凭证盗窃活动,导致入侵和数据盗用。 APT主要针对北约国家,但专家们还观察到针对波罗的海,北欧和东欧地区(包括乌克兰)的运动。
Coldriver针对备受瞩目的个人和非政府组织,以窃取凭据,电子邮件和联系人。他们还可以部署恶意软件来访问文件。最近的受害者包括西方顾问,记者和与乌克兰有联系的人。他们的主要目标是为了俄罗斯利益而进行情报收集,偶尔进行黑客泄漏行动。
根据Google Gtig的说法,APT组从一月份开始使用Lostekeys恶意软件,在1月份开始,受害者被诱使运行恶意PowerShell脚本,从而通过VBS有效载荷盗窃了数据。
LostKeys是通过一个多步链部署的,该链从欺骗用户运行PowerShell的假验码开始。 Coldriver和其他其他方法使用的“点击Fix”方法从远程服务器中获取有效载荷。
Coldriver和其他人使用第二阶段检查设备的显示分辨率MD5哈希。如果与特定值匹配,则执行将停止,否则,恶意代码将检索第三阶段,该阶段使用每个请求使用唯一的标识符。
总结报告 先前记录的 @securityaffairs Facebook