谷歌警告：俄 APT 组织Star Blizzard利用 ClickFix 部署新型 LostKeys 恶意软件

谷歌警告称，俄 APT 组织 Star Blizzard 持续使用 ClickFix 技术传播新的信息窃取恶意软件。

Star Blizzard 又名 UNC4057、Callisto、Coldriver 和 Seaborgium，至少自 2019 年开始活跃，美国于 2023 年 12 月公开将其与俄联邦安全局 (FSB) 联系起来。2024 年 10 月，该 APT 用于鱼叉式网络钓鱼的100 多个域名被查封。

该组织以针对学术组织、北约政府、非政府组织和智库进行情报收集而闻名，主要通过电子邮件账户，他们会传播恶意软件并仅在特定情况下尝试访问系统文件。

谷歌表示，最近的攻击活动针对的是“西方政府和军队的现任和前任顾问、记者、智库和非政府组织”，以及与乌克兰有关的个人。

在 2025 年 1 月、3 月和 4 月观察到的攻击中，Star Blizzard 发布了一个名为LostKeys的新恶意软件家族，作为多步骤感染链的一部分，该感染链始于包含虚假验证码的诱饵网页，并采用已知的ClickFix技术执行恶意代码。

页面上的 JavaScript 代码会自动将恶意 PowerShell 命令复制到剪贴板，同时指示受害者通过打开 Windows 上的运行提示符来验证他们是人类，然后粘贴并执行 PowerShell 命令。

ClickFix 技术最初于 2023 年 10 月被发现，但其大规模采用始于 2024 年 8 月，并自今年年初以来呈现激增趋势。网络犯罪分子和国家背景的APT组织都在使用这种技术。

谷歌指出：“当用户遇到提示他们退出浏览器并在设备上运行命令的网站时，应该谨慎行事，企业策略应该实施最小特权并默认禁止用户执行脚本。”

作为 Star Blizzard 攻击的一部分，第一阶段 PowerShell 执行执行设备检查的代码（可能用于逃避虚拟机），并获取负责检索和解码最终有效载荷（LostKeys 恶意软件）的第三阶段有效载荷。

谷歌指出：“这是一种恶意软件，能够从硬编码的扩展名和目录列表中窃取文件，并向攻击者发送系统信息和正在运行的进程。”

谷歌还表示，LostKeys“仅在高度选择性的情况下部署”，并且它还可以从受感染的系统中窃取文件。

谷歌的分析揭示了两个可追溯到 2023 年 12 月的恶意软件样本的链接，它们使用不同的执行链来运行 LostKeys 恶意软件。

谷歌指出：“目前尚不清楚这些 2023 年 12 月的样本是否与 COLDRIVER 有关，或者该恶意软件是否由不同的开发人员或操作重新用于 2025 年 1 月开始的活动。”

技术报告：

https://cloud.google.com/blog/topics/threat-intelligence/coldriver-steal-documents-western-targets-ngos

新闻链接：

https://www.securityweek.com/google-finds-data-theft-malware-used-by-russian-apt-in-select-cases/