【安全资讯】谷歌将新型LostKeys数据窃取恶意软件与俄罗斯网络间谍联系起来

概要：

谷歌近日披露，俄罗斯国家支持的ColdRiver黑客组织自年初以来，利用新型LostKeys恶意软件对西方政府、记者、智库及非政府组织展开间谍攻击。此事件不仅揭示了网络安全威胁的复杂性，也凸显了国家间网络战的日益严重。

主要内容：

ColdRiver黑客组织被认为与俄罗斯联邦安全局（FSB）有关联，谷歌威胁情报组（GTIG）在一月首次观察到LostKeys恶意软件的使用，主要通过ClickFix社交工程攻击进行部署。攻击者诱使目标运行恶意的PowerShell脚本，这些脚本会下载并执行额外的PowerShell负载，最终导致数据窃取恶意软件LostKeys的运行。

LostKeys能够从硬编码的扩展名和目录中窃取文件，并将系统信息和运行进程发送给攻击者。ColdRiver的典型行为是窃取凭证，然后利用这些凭证窃取目标的电子邮件和联系人。除了LostKeys，ColdRiver还会在特定目标上部署名为SPICA的恶意软件，以获取目标系统上的文档。

此外，其他国家支持的黑客组织如Kimsuky（朝鲜）、MuddyWater（伊朗）和APT28（俄罗斯）也在近期的间谍活动中使用了类似的ClickFix攻击策略。五眼联盟的网络机构在2023年12月警告称，ColdRiver针对防务、政府组织、非政府组织及政治家的网络钓鱼攻击有所增加，尤其是在俄罗斯入侵乌克兰之后。这一系列攻击不仅影响了国家安全，也对相关组织的声誉造成了严重损害。