Google报告揭示COLDRIVER组织使用LOSTKEYS恶意软件进行复杂网络攻击。
根据Google Threat Intelligence于5月7日发布的报告,威胁组织COLDRIVER正使用名为LOSTKEYS的新型恶意软件从西方目标窃取文件。这一行为标志着该组织从简单的凭证钓鱼演变为更复杂的网络攻击。
LOSTKEYS恶意软件的安装过程
Google的报告详细描述了LOSTKEYS恶意软件的四个安装步骤:
– 通过带有假CAPTCHA的“诱饵网站”诱导用户。
– 下载PowerShell脚本到用户的剪贴板。
– 执行设备规避技术。
– 最终检索并安装有效载荷。
LOSTKEYS的功能与影响
LOSTKEYS能够:
– 从扩展和目录中窃取文件。
– 将系统信息和运行中的进程发送回COLDRIVER控制服务器(如165.227.148[.]68)。
Google已采取措施减轻损害,包括将相关恶意网站添加到其“安全浏览”功能中。
COLDRIVER组织的背景
COLDRIVER是一个俄罗斯支持的网络威胁组织,主要针对西方高调目标,如前外交官和记者。2024年1月,该组织开始使用名为“Spica”的恶意软件进行攻击,该软件能执行任意shell命令并下载或上传软件。
相关阅读: 加密货币流失器现以易用恶意软件形式在IT行业展会上销售
2025年加密货币黑客攻击损失创历史新高
2025年第一季度,加密货币黑客攻击总损失达到20亿美元,超过了2024年的全年记录。Hacken报告指出,操作缺陷和薄弱的访问控制是主要漏洞来源,社会工程学策略的使用也在增加。
其中,加密货币交易所Bybit的15亿美元黑客攻击由Lazarus Group策划,成为上季度损失的主要原因之一。
阅读原文
Cointelegraph: COLDRIVER using new malware to steal from Western targets — Google
The malware, LOSTKEYS, can steal files from hard-coded extensions and directories, according to Google.
相关词条
- COLDRIVER: 一个俄罗斯支持的网络威胁组织,专门针对西方高调目标进行钓鱼尝试和复杂网络攻击。
- LOSTKEYS: COLDRIVER使用的新型恶意软件,能够窃取文件、系统信息和运行中的进程。
- Spica: COLDRIVER在2024年1月开始使用的恶意软件,可以执行任意shell命令并下载或上传软件。
- Lazarus Group: 一个知名的黑客组织,据报道策划了加密货币交易所Bybit的15亿美元黑客攻击。
- Hacken: 一家加密货币网络安全公司,专注于提供加密货币领域的网络安全解决方案和分析报告。
可能问题
- LOSTKEYS恶意软件的四个安装步骤具体是什么?
- COLDRIVER组织为何从凭证钓鱼转向使用更复杂的恶意软件如LOSTKEYS和Spica?
- Google的‘安全浏览’功能如何帮助减轻LOSTKEYS恶意软件的威胁?
- 2025年加密货币黑客攻击激增的主要原因是什么?
- Lazarus Group是如何策划对Bybit的15亿美元黑客攻击的?
