导 读
谷歌警告称,俄 APT 组织 Star Blizzard 持续使用 ClickFix 技术传播新的信息窃取恶意软件。
Star Blizzard 又名 UNC4057、Callisto、Coldriver 和 Seaborgium,至少自 2019 年开始活跃,美国于 2023 年 12 月公开将其与俄联邦安全局 (FSB) 联系起来。2024 年 10 月,该 APT 用于鱼叉式网络钓鱼的100 多个域名被查封。
该组织以针对学术组织、北约政府、非政府组织和智库进行情报收集而闻名,主要通过电子邮件账户,他们会传播恶意软件并仅在特定情况下尝试访问系统文件。
谷歌表示,最近的攻击活动针对的是“西方政府和军队的现任和前任顾问、记者、智库和非政府组织”,以及与乌克兰有关的个人。
在 2025 年 1 月、3 月和 4 月观察到的攻击中,Star Blizzard 发布了一个名为LostKeys的新恶意软件家族,作为多步骤感染链的一部分,该感染链始于包含虚假验证码的诱饵网页,并采用已知的ClickFix技术执行恶意代码。
页面上的 JavaScript 代码会自动将恶意 PowerShell 命令复制到剪贴板,同时指示受害者通过打开 Windows 上的运行提示符来验证他们是人类,然后粘贴并执行 PowerShell 命令。
ClickFix 技术最初于 2023 年 10 月被发现,但其大规模采用始于 2024 年 8 月,并自今年年初以来呈现激增趋势。网络犯罪分子和国家背景的APT组织都在使用这种技术。
谷歌指出:“当用户遇到提示他们退出浏览器并在设备上运行命令的网站时,应该谨慎行事,企业策略应该实施最小特权并默认禁止用户执行脚本。”
作为 Star Blizzard 攻击的一部分,第一阶段 PowerShell 执行执行设备检查的代码(可能用于逃避虚拟机),并获取负责检索和解码最终有效载荷(LostKeys 恶意软件)的第三阶段有效载荷。
谷歌指出:“这是一种恶意软件,能够从硬编码的扩展名和目录列表中窃取文件,并向攻击者发送系统信息和正在运行的进程。”
谷歌还表示,LostKeys“仅在高度选择性的情况下部署”,并且它还可以从受感染的系统中窃取文件。
谷歌的分析揭示了两个可追溯到 2023 年 12 月的恶意软件样本的链接,它们使用不同的执行链来运行 LostKeys 恶意软件。
谷歌指出:“目前尚不清楚这些 2023 年 12 月的样本是否与 COLDRIVER 有关,或者该恶意软件是否由不同的开发人员或操作重新用于 2025 年 1 月开始的活动。”
技术报告:
https://cloud.google.com/blog/topics/threat-intelligence/coldriver-steal-documents-western-targets-ngos
新闻链接:
https://www.securityweek.com/google-finds-data-theft-malware-used-by-russian-apt-in-select-cases/
原文始发于微信公众号(军哥网络安全读报):谷歌警告:俄 APT 组织Star Blizzard利用 ClickFix 部署新型 LostKeys 恶意软件
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论