Исследователи компании Google сообщили об обнаружении нового вредоносного ПО под названием Lostkeys, которое приписывается российской хакерской группе Coldriver. Эта группировка, также известная как Star Blizzard или UNC4057, давно ассоциируется с кибершпионажем, направленным против высокопоставленных лиц, связанных с НАТО — в том числе дипломатов, аналитиков и журналистов. Источник: The Record
Вредоносное ПО было замечено в действии в апреле 2025 года и представляет собой расширение арсенала Coldriver, который прежде преимущественно базировался на фишинговых атаках. Lostkeys позволяет злоумышленникам получать доступ к файлам определённых типов, а также передавать системную информацию жертвы на удалённый сервер. Внедрение вредоносного кода осуществляется через фальшивый сайт CAPTCHA, где пользователю предлагается запустить вредоносный PowerShell-скрипт.
Эксперты отмечают, что Lostkeys используется очень избирательно и, вероятно, применяется только в особо приоритетных целях. Этот подход схож с предыдущей тактикой Coldriver, в частности с использованием инструмента Spica, также ориентированного на точечное проникновение в системы жертв. Метод обхода традиционных средств защиты говорит о высокой квалификации хакеров.
Группа Coldriver была впервые зафиксирована Google в 2022 году, и, по мнению аналитиков, действует в интересах российских спецслужб. В прошлом их атаки были нацелены на правозащитников, журналистов и организации гражданского общества в Восточной Европе и США. Новая активность с применением Lostkeys подтверждает, что Coldriver продолжает развивать и усложнять свои инструменты кибершпионажа.
Ранее британское Национальное агентство по борьбе с преступностью (NCA) обвинило российскую хакерскую группировку Evil Corp в проведении кибератак на страны НАТО по приказу российских спецслужб. Эта преступная организация действовала под защитой ФСБ, благодаря связям с высокопоставленными чиновниками.
Только главные новости в нашем Telegram, Facebook и GoogleNews!
Tweet