Die schattenhafte Welt der Cyberspionage hat einen neuen Spieler auf dem Feld: ein hinterhältiges Stück Malware namens „Lostkeys“. Laut Google nutzt eine russische Staatsmannschaft, die als Coldriver namens Coldriver bezeichnet wird, seit Beginn des Jahres, um westliche Regierungen, Journalisten, Think Tanks und Nichtregierungsorganisationen zu schnappen.
Coldriver ist nicht gerade ein neues Kind auf dem Block. Bereits im Dezember zeigten Großbritannien und seine „Five Eyes“ -Nehium -Verbündete den Finger auf sie. Die Hacking -Gruppe war direkt mit dem Russlands Federal Security Service (FSB) in Verbindung gebracht, was im Grunde genommen ihre Spionageabwehr und die interne Sicherheit Bigwig ist.
Google gibt Lostkeys offen, eine Malware, die mit Russland verbunden ist
Googles Threat Intelligence Group (GIG) von Google entdeckte Lostkeys erstmals im Januar. Es scheint, dass Coldriver es in sehr gezielten „ClickFix“ -Angriffen eingesetzt hat. Stellen Sie sich diese als digitale Con -Jobs vor, bei denen sie Menschen dazu bringen, zwielichtige Powershell -Skripte zu leiten. Grundsätzlich basieren ClickFix -Angriffe auf klassischem Social Engineering.
Sobald diese Skripte ausgeführt werden, ebnen sie den Weg für noch mehr PowerShell -Bosheit, die heruntergeladen und ausgeführt werden kann. Ihr Hauptziel ist die Installation von Lostkeys, die Google als VBS -Datendiebstahl -Malware (Visual Basic Script) identifiziert hat. Laut GIGs Bericht ist Lostkeys wie ein „digitaler Staubsauger“, der bestimmte Dateien und Verzeichnisse extrahiert. Es sendet auch Systeminformationen und leitet Prozesse an die Angreifer zurück.
Das übliche MO von ColdRiver beinhaltet die Diebstahl von Anmeldedetails, um E -Mails und Kontakte zu stehlen. Es ist jedoch auch bekannt, dass sie eine andere Malware namens Spica bereitstellen, um Dokumente und Dateien zu greifen. Lostkeys scheint einen ähnlichen Zweck zu erfüllen, aber es wird nur für diejenigen herausgebracht “Hochselektive Fälle. ““ Dies deutet darauf hin, dass es sich um ein spezielleres Werkzeug im Spionage -Toolkit von ColdRiver handelt.
Interessanterweise ist Coldriver nicht die einzige staatlich geförderte Gruppe, die sich in diesen ClickFix-Angriffen vertieft. Die Cyber -Unterwelt ist anscheinend ein Fan dieser Taktik, in der Gruppen mit Nordkorea (Kimsuky), dem Iran (Muddywater) und sogar anderen russischen Schauspielern (APT28 und UNK_RemoTerogue) verbunden sind, die alle in ihren jüngsten Spying -Kampagnen ähnliche Methoden verwenden.
Coldriver operiert seit 2017
Coldriver ist auch durch einige andere Aliase wie Star Blizzard und Callisto Group bekannt. Seit 2017 ist es ihre Fähigkeiten zum Social Engineering und Open-Source-Geheimdienst, um Ziele zu wechseln. Die Angriffe der Gruppe haben zugenommen, insbesondere nach der Invasion der Ukraine in Russland, sogar auf Verteidigungsindustriellen und US-amerikanische Ministerium für Energieeinrichtungen.
Das US -Außenministerium hat sogar Sanktionen gegen ein paar Coldriver -Mitarbeiter (einer Berichten zufolge ein FSB -Offizier) geschlagen. Derzeit bieten US -Behörden eine hohe Belohnung von 10 Millionen US -Dollar für Tipps an, die dazu beitragen könnten, andere Mitglieder aufzuspüren. Dies spiegelt die Ernsthaftigkeit wider, mit der die USA die Gruppe nehmen.
