Новая вредоносная программа LostKeys используется в атаках на западные цели и предположительно связана с пророссийскими хакерами
Изображение: recraft
Группа специалистов Google Threat Intelligence Group обнаружила в начале года вредоносный инструмент LostKeys, применяемый в узконаправленных шпионских кампаниях против аналитических центров, журналистов, государственных структур и неправительственных организаций. По данным Google, атаки проводились кибергруппировкой ColdRiver, которую западные разведслужбы уже связывали с российскими спецслужбами.
Согласно информации, опубликованной исследователями, новая вредоносная разработка используется при проведении атак с элементами социальной инженерии — в частности, через поддельную платформу ClickFix. Потенциальной жертве предлагается запустить скрипт PowerShell, в результате чего на устройство попадают дополнительные вредоносные модули. Один из них — это скрипт на Visual Basic, который и представляет собой LostKeys.
По описанию экспертов GTIG, функционал LostKeys сосредоточен на похищении файлов из заранее обозначённых каталогов и по определённым расширениям. В дополнение программа может пересылать на удалённые серверы информацию о текущих процессах и конфигурации заражённого устройства. В Google уточнили, что внедрение LostKeys происходит точечно, при атаках на цели, представляющие стратегический интерес.
Издание BleepingComputer приводит слова специалистов GTIG, которые объяснили, что ColdRiver использует и другие инструменты. В частности, в некоторых случаях применяют зловред SPICA — его задача также состоит в получении доступа к содержимому компьютера. Использование LostKeys, по мнению аналитиков, подчиняется аналогичной цели: обеспечить оперативное похищение документов у ограниченного круга целей.
ColdRiver уже попадала в поле зрения киберразведок Великобритании и союзных стран. В декабре 2023 года Five Eyes выпустили совместное предупреждение, где указывали на причастность этой группы к фишинговым атакам на представителей оборонного сектора, политиков, международные и гуманитарные организации. Активность ColdRiver значительно возросла после начала военных действий на Украине.
Кроме ColdRiver, в подобных атаках с использованием ClickFix были замечены и другие игроки. По данным Google, это северокорейская группа Kimsuky, иранская MuddyWater, а также другие команды, предположительно связанные с российской инфраструктурой: APT28 и UNK_RemoteRogue. Все они эксплуатируют социальную инженерию для распространения вредоносного ПО, ориентируясь на конкретных жертв.
Как подчёркивают специалисты Google, ColdRiver применяет целый набор приёмов, в том числе разведку на основе открытых данных (OSINT) и поддельные домены, копирующие официальные ресурсы. Подобная стратегия используется группой минимум с 2017 года и регулярно приводит к компрометации конфиденциальных данных.
