De schaduwrijke wereld van cyberspionage heeft een nieuwe speler op het veld: een stiekem stuk malware genaamd “Lostkeys”. Volgens Google gebruikt een door de Russische door de staat gesteunde malwareploeg die Coldriver bekend staat, Lostkeys sinds het begin van het jaar om te snuffelen op westerse regeringen, journalisten, denktanks en niet-gouvernementele organisaties.
Coldriver is niet bepaald een nieuw kind in het blok. In december wees het VK en de “vijf ogen” -informatiebonds met de vinger naar hen. De hackgroep was rechtstreeks gekoppeld aan de Russische Federal Security Service (FSB), die eigenlijk hun contraspionage en interne beveiliging Bigwig is.
Google onthult LostKeys, een malware gekoppeld aan Rusland
Google’s Threat Intelligence Group (GTIG) zag Lostkeys voor het eerst in januari. Het lijkt erop dat Coldriver het heeft geïmplementeerd in zeer gerichte “ClickFix” -aanvallen. Zie deze als digitale con -banen waar ze mensen misleiden om dodgy PowerShell -scripts te runnen. Kortom, ClickFix -aanvallen zijn gebaseerd op klassieke sociale engineering.
Zodra die scripts actief zijn, banen ze de weg voor nog meer PowerShell -smerigheid om te worden gedownload en uitgevoerd. Hun belangrijkste doel is de installatie van Lostkeys, die Google heeft geïdentificeerd als een Visual Basic Script (VBS) data diefstal malware. Volgens het rapport van GTIG is Lostkeys als een “digitale vacuümreiniger” die specifieke bestanden en mappen extraheert. Het verzendt ook systeeminformatie en voert processen terug naar de aanvallers.
Het gebruikelijke MO van Coldriver omvat het stelen van inloggegevens om e -mails en contacten te pilfer. Het is echter ook bekend dat ze een andere malware implementeren genaamd Spica voor het pakken van documenten en bestanden. Lostkeys lijkt een soortgelijk doel te dienen, maar het is alleen naar voren gebracht voor die ‘zeer selectieve gevallen. ” Dit suggereert dat het een meer gespecialiseerde tool is in de spionage toolkit van Coldriver.
Interessant is dat Coldriver niet de enige door de staat gesponsorde groep is die in deze ClickFix-aanvallen dabbelt. De Cyber Underworld is blijkbaar een fan van deze tactiek, met groepen die verband houden met Noord -Korea (Kimsuky), Iran (Muddywater) en zelfs andere Russische acteurs (APT28 en Unk_Remoterogy), allemaal gebruiken van vergelijkbare methoden in hun recente spionagecampagnes.
Coldriver actief sinds 2017
Coldriver is ook bekend onder een paar andere aliassen, zoals Star Blizzard en Callisto Group. Het is sinds minstens 2017 hun sociale engineering en open-source intelligentievaardigheden om doelen te misleiden. De aanvallen van de groep zijn toegenomen, vooral na Ruslands invasie van Oekraïne, zelfs zich uitbreiden naar defensie-industriële sites en het Amerikaanse ministerie van Energie-faciliteiten.
Het Amerikaanse ministerie van Buitenlandse Zaken heeft zelfs sancties geslagen tegen een paar Coldriver -agenten (naar verluidt een FSB -officier). Momenteel bieden Amerikaanse autoriteiten een flinke beloning van $ 10 miljoen aan voor eventuele tips die kunnen helpen bij het opsporen van andere leden. Dit weerspiegelt het niveau van ernst waarmee de VS de groep neemt.
