俄罗斯黑客组织ColdRiver近期攻击活动中使用新型"LostKeys"恶意软件

【攻击组织背景】
俄罗斯网络间谍组织COLDRIVER（又名"Seaborgium"、"Callisto"）自2015年起持续针对北约国家开展网络攻击，主要目标包括：

• 政府高官与军事人员

• 智库研究员及媒体记者

• 乌克兰相关人士
  该组织以窃取凭证、邮件和联系人信息著称，偶尔会实施"入侵-泄露"行动配合俄罗斯情报需求。

【新型恶意软件技术分析】

1. 攻击载体：

• 采用"ClickFix"钓鱼手法（2025年1月起活跃）

• 伪装CAPTCHA验证诱导受害者运行PowerShell脚本

• 通过VBS载荷最终部署LOSTKEYS恶意软件

1. 多阶段攻击链：
   ▸ 第一阶段：检测显示器分辨率MD5哈希值（具备反分析机制）
   ▸ 第二阶段：使用唯一标识符请求第三阶段载荷
   ▸ 第三阶段：Base64编码的PowerShell脚本，最终释放：

• VBS解码器

• 使用独特密钥加密的恶意载荷

• 窃取特定扩展名文件（硬编码目录列表）

• 收集系统信息及运行进程数据

• 仅针对高价值目标选择性部署

【历史关联样本】
研究人员发现两个可追溯至2023年12月的PE文件样本：

• 伪装成Maltego取证软件

• 采用不同执行链部署LOSTKEYS
  （尚不明确是否与COLDRIVER存在直接关联）

【攻击特征演变】
与传统SPICA恶意软件相比，LOSTKEYS呈现新特点：

1. 攻击链复杂度显著提升

2. 引入硬件环境检测等反分析手段

3. 采用模块化设计适应不同攻击场景