【攻击组织背景】
俄罗斯网络间谍组织COLDRIVER(又名"Seaborgium"、"Callisto")自2015年起持续针对北约国家开展网络攻击,主要目标包括:
-
政府高官与军事人员
-
智库研究员及媒体记者
-
乌克兰相关人士
该组织以窃取凭证、邮件和联系人信息著称,偶尔会实施"入侵-泄露"行动配合俄罗斯情报需求。
【新型恶意软件技术分析】
-
攻击载体:
-
采用"ClickFix"钓鱼手法(2025年1月起活跃)
-
伪装CAPTCHA验证诱导受害者运行PowerShell脚本
-
通过VBS载荷最终部署LOSTKEYS恶意软件
-
多阶段攻击链:
▸ 第一阶段:检测显示器分辨率MD5哈希值(具备反分析机制)
▸ 第二阶段:使用唯一标识符请求第三阶段载荷
▸ 第三阶段:Base64编码的PowerShell脚本,最终释放: -
VBS解码器
-
使用独特密钥加密的恶意载荷
-
恶意功能:
-
窃取特定扩展名文件(硬编码目录列表)
-
收集系统信息及运行进程数据
-
仅针对高价值目标选择性部署
【历史关联样本】
研究人员发现两个可追溯至2023年12月的PE文件样本:
-
伪装成Maltego取证软件
-
采用不同执行链部署LOSTKEYS
(尚不明确是否与COLDRIVER存在直接关联)
【攻击特征演变】
与传统SPICA恶意软件相比,LOSTKEYS呈现新特点:
-
攻击链复杂度显著提升
-
引入硬件环境检测等反分析手段
-
采用模块化设计适应不同攻击场景
原文始发于微信公众号(黑猫安全):俄罗斯黑客组织ColdRiver近期攻击活动中使用新型LostKeys恶意软件
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论