谷歌警告:俄 APT 组织Star Blizzard利用 ClickFix 部署新型 LostKeys 恶意软件

admin 2025年5月9日15:06:22评论5 views字数 1292阅读4分18秒阅读模式

导 

谷歌警告称,俄 APT 组织 Star Blizzard 持续使用 ClickFix 技术传播新的信息窃取恶意软件。

谷歌警告:俄 APT 组织Star Blizzard利用 ClickFix 部署新型 LostKeys 恶意软件

Star Blizzard 又名 UNC4057、Callisto、Coldriver 和 Seaborgium,至少自 2019 年开始活跃,美国于 2023 年 12 月公开将其与俄联邦安全局 (FSB) 联系起来。2024 年 10 月,该 APT 用于鱼叉式网络钓鱼的100 多个域名被查封。

该组织以针对学术组织、北约政府、非政府组织和智库进行情报收集而闻名,主要通过电子邮件账户,他们会传播恶意软件并仅在特定情况下尝试访问系统文件。

谷歌表示,最近的攻击活动针对的是“西方政府和军队的现任和前任顾问、记者、智库和非政府组织”,以及与乌克兰有关的个人。

在 2025 年 1 月、3 月和 4 月观察到的攻击中,Star Blizzard 发布了一个名为LostKeys的新恶意软件家族,作为多步骤感染链的一部分,该感染链始于包含虚假验证码的诱饵网页,并采用已知的ClickFix技术执行恶意代码。

谷歌警告:俄 APT 组织Star Blizzard利用 ClickFix 部署新型 LostKeys 恶意软件

页面上的 JavaScript 代码会自动将恶意 PowerShell 命令复制到剪贴板,同时指示受害者通过打开 Windows 上的运行提示符来验证他们是人类,然后粘贴并执行 PowerShell 命令。

ClickFix 技术最初于 2023 年 10 月被发现,但其大规模采用始于 2024 年 8 月,并自今年年初以来呈现激增趋势。网络犯罪分子和国家背景的APT组织都在使用这种技术。

谷歌指出:“当用户遇到提示他们退出浏览器并在设备上运行命令的网站时,应该谨慎行事,企业策略应该实施最小特权并默认禁止用户执行脚本。”

作为 Star Blizzard 攻击的一部分,第一阶段 PowerShell 执行执行设备检查的代码(可能用于逃避虚拟机),并获取负责检索和解码最终有效载荷(LostKeys 恶意软件)的第三阶段有效载荷。

谷歌指出:“这是一种恶意软件,能够从硬编码的扩展名和目录列表中窃取文件,并向攻击者发送系统信息和正在运行的进程。”

谷歌还表示,LostKeys“仅在高度选择性的情况下部署”,并且它还可以从受感染的系统中窃取文件。

谷歌的分析揭示了两个可追溯到 2023 年 12 月的恶意软件样本的链接,它们使用不同的执行链来运行 LostKeys 恶意软件。

谷歌指出:“目前尚不清楚这些 2023 年 12 月的样本是否与 COLDRIVER 有关,或者该恶意软件是否由不同的开发人员或操作重新用于 2025 年 1 月开始的活动。”

技术报告:

https://cloud.google.com/blog/topics/threat-intelligence/coldriver-steal-documents-western-targets-ngos

新闻链接:

https://www.securityweek.com/google-finds-data-theft-malware-used-by-russian-apt-in-select-cases/

谷歌警告:俄 APT 组织Star Blizzard利用 ClickFix 部署新型 LostKeys 恶意软件

原文始发于微信公众号(军哥网络安全读报):谷歌警告:俄 APT 组织Star Blizzard利用 ClickFix 部署新型 LostKeys 恶意软件

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年5月9日15:06:22
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   谷歌警告:俄 APT 组织Star Blizzard利用 ClickFix 部署新型 LostKeys 恶意软件https://cn-sec.com/archives/4045532.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息