HackerNews 编译,转载请注明出处:
与俄罗斯有关的威胁行为者COLDRIVER被发现分发名为LOSTKEYS的新恶意软件,该行动采用类似ClickFix的社会工程诱饵实施网络间谍活动。谷歌威胁情报组(GTIG)表示:“LOSTKEYS能够从硬编码的扩展名和目录列表中窃取文件,并向攻击者发送系统信息和运行进程。”
GTIG称,该恶意软件在2025年1月、3月和4月针对西方政府和军队现任及前任顾问、记者、智库、非政府组织以及乌克兰相关人士的攻击中被发现。LOSTKEYS是COLDRIVER继SPICA之后开发的第二个定制恶意软件,标志着该组织持续偏离其知名的凭证钓鱼活动。该黑客组织还被追踪为Callisto、Star Blizzard和UNC4057。
网络安全研究人员Wesley Shields表示:“他们以窃取凭证闻名,在获取目标账户访问权限后会窃取邮件和联系人列表。在特定案例中,COLDRIVER还会向目标设备投放恶意软件,并试图访问系统文件。”
最新攻击始于包含虚假验证码验证提示的诱饵网站,受害者被要求打开Windows运行对话框并粘贴复制的PowerShell命令。这种被广泛称为ClickFix的社会工程技术会下载并执行远程服务器(“165.227.148[.]68”)的第二阶段载荷,该载荷在可能进行虚拟机检测后才会下载第三阶段恶意软件。
经过Base64编码的第三阶段载荷被解码为PowerShell脚本,负责在受感染主机上执行LOSTKEYS,使攻击者能够收集系统信息、运行进程以及硬编码列表中的文件。与SPICA类似,该恶意软件被认为是选择性部署的,表明攻击具有高度针对性。
谷歌还发现了可追溯至2023年12月的LOSTKEYS伪装样本,这些样本假扮成Maltego开源调查平台的二进制文件。目前尚不清楚这些样本是否与COLDRIVER有关,或恶意软件是否从2025年1月开始被攻击者重新利用。
随着ClickFix技术被更多威胁行为者采用,包括传播银行木马Lampion和窃密软件Atomic Stealer,其应用范围持续扩大。根据Palo Alto Networks Unit 42的分析,传播Lampion的攻击使用带有ZIP附件的钓鱼邮件,压缩包内的HTML文件会将受害者重定向至包含ClickFix指令的虚假登录页面。
“Lampion感染链的另一个有趣之处在于其分为多个非连续阶段,作为独立进程执行,”Unit 42指出,“这种分散式执行使检测复杂化,因为攻击流程不会形成易于识别的进程树,而是由看似无害的独立事件组成复杂链条。”该活动主要针对葡萄牙语用户,涉及政府、金融和运输等多个领域。
近期ClickFix策略还与名为EtherHiding的隐匿技术结合使用,通过币安智能链(BSC)合约隐藏载荷,最终传播macOS窃密软件Atomic Stealer。化名Badbyte的研究人员表示:“点击‘我不是机器人’会触发币安智能合约,使用EtherHiding技术向剪贴板传递Base64编码命令,提示用户通过macOS快捷键(⌘ + Space, ⌘ + V)在终端运行。该命令下载的脚本会获取并执行经签名的Mach-O二进制文件,确认为Atomic Stealer。”
进一步调查发现,该活动可能已入侵约2,800个合法网站来提供虚假验证码提示。研究人员将这次大规模水坑攻击代号定为MacReaper。研究人员补充道。“攻击利用混淆JavaScript、三个全屏iframe和基于区块链的命令基础设施来最大化感染范围,”
消息来源: thehackernews;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
