大家好,我是紫队安全研究。建议大家把公众号“紫队安全研究”设为星标,否则可能就无法及时看到啦!因为公众号只对常读和星标的公众号才能大图推送。操作方法:先点击上面的“紫队安全研究”,然后点击右上角的【...】,然后点击【设为星标】即可。
在网络间谍的隐秘战场上,俄罗斯关联的APT组织又有新动向!谷歌威胁情报小组披露,名为ColdRiver(别名Seaborgium、Callisto等)的黑客团伙,自2025年初起使用新型恶意软件LostKeys,针对西方政府、军事人员及智库发动间谍攻击,一场窃取敏感文件与系统情报的“数字掠夺”正在上演!
一、ColdRiver:专盯西方的“情报猎手”
作为活跃于2015年的老牌APT组织,ColdRiver的攻击目标高度集中:
核心对象:北约国家政府官员、军事人员、记者及智库成员,近年更将乌克兰及波罗的海、北欧国家纳入重点范围;
攻击手法:以持续性钓鱼攻击和凭证窃取为核心,擅长通过伪装成合法文件或工具的恶意程序渗透目标;
战略目的:为俄罗斯收集地缘政治情报,偶尔发起“黑客泄露”行动制造舆论影响。
此次曝光的攻击中,受害者涵盖西方顾问、记者及与乌克兰相关的人士,凸显其对俄乌冲突周边信息的高度关注。
二、LostKeys攻击链:从虚假验证码到数据虹吸
谷歌揭示,LostKeys的部署采用多阶段钓鱼攻击,环环相扣的技术陷阱令人防不胜防:
1. 第一阶段:伪装诱骗
攻击者发送包含虚假验证码页面的钓鱼链接,声称“需验证身份”才能访问内容,诱导用户点击并运行PowerShell脚本(即“ClickFix”手法);
该脚本从远程服务器下载后续攻击载荷,利用用户对“安全验证”的信任绕过初始防线。
2. 第二阶段:环境筛选
恶意代码首先检查受害者设备的显示分辨率MD5哈希值,若匹配特定值(如攻击者预设的“非目标环境”)则自动终止,反之则继续执行;
这一设计确保攻击仅针对高价值目标,避免暴露于无关设备。
3. 第三阶段:分层渗透
下载并解码Base64编码的PowerShell脚本,进一步拉取两个关键文件:VBS解码器和加密数据文件;
每个感染链条使用唯一密钥加密通信,增加逆向分析难度。
4. 最终阶段:数据窃取
释放核心恶意程序LostKeys(VBS脚本),按硬编码的文件扩展名(如.docx、.pdf、.xls等)和目录(如桌面、文档文件夹)批量窃取文件;
同时收集系统信息(如主机名、IP地址)并回传至攻击者服务器,为后续定向攻击铺路。
三、技术特征:精准定位与隐蔽通信
LostKeys的设计凸显APT组织的专业化与针对性:
选择性攻击:仅针对特定分辨率设备(可能对应政府或军事机构专用终端),减少误触风险;
通信隐匿:使用唯一密钥加密数据传输,且各攻击链条独立,防御者难以通过单一样本追溯整个攻击网络;
历史关联:谷歌发现2023年12月曾出现伪装成Maltego软件的同类PE文件,但攻击链条略有不同,暗示LostKeys可能是黑客工具“迭代升级”的产物。
四、防御挑战:如何拦截“定向钓鱼”?
ColdRiver与LostKeys的威胁揭示了现代APT的两大趋势:
1. 社会工程学升级:利用“验证码”“安全认证”等高频场景降低用户警惕性,传统“钓鱼邮件识别”培训效果有限;
2. 技术门槛降低:依赖PowerShell和VBS等系统原生工具,绕过部分反病毒软件的静态检测。
防御建议:
行为监控:部署EDR工具,重点检测“非预期PowerShell进程调用”及“异常文件批量读取”行为;
邮件安全强化:对包含“验证链接”“安全提示”的邮件启用动态沙箱分析,阻断含可疑PowerShell脚本的附件;
用户意识革新:开展“场景化钓鱼演练”(如模拟“政府系统验证码”弹窗),提升高风险岗位人员对“非对称攻击”的识别能力;
补丁管理:确保终端系统禁用未签名脚本运行,限制PowerShell的远程代码执行权限。
五、结语:间谍无孔不入,警惕数字“冷river”
从冷战时期的情报战到数字时代的APT攻击,俄罗斯关联组织的渗透手段始终在进化。LostKeys的出现,不仅是技术威胁,更是对“信任体系”的挑战——当“安全验证”成为攻击入口,当日常办公工具变为窃密通道,网络安全的防线必须从“边界防护”转向“行为质疑”。
加入知识星球,可继续阅读
一、"全球高级持续威胁:网络世界的隐形战争",总共26章,为你带来体系化认识APT,欢迎感兴趣的朋友入圈交流。
二、"DeepSeek:APT攻击模拟的新利器",为你带来APT攻击的新思路。
喜欢文章的朋友动动发财手点赞、转发、赞赏,你的每一次认可,都是我继续前进的动力。
原文始发于微信公众号(紫队安全研究):警报!俄罗斯关联组织ColdRiver出动新型LostKeys恶意软件,西方政要成目标!
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论