LostKey Logger

[MaFio]

Исследователи из Google TAG и Mandiant раскрыли новую кампанию ColdRiver (также известной как APT29/BlueCharlie), связанной с российской ФСБ. Группа внедряет малозаметный малварь LostKey, фокусируясь на краже документов у западных НКО, исследователей и правозащитников. Новая особенность - Telegram-каналы как C2 и эксфильтрационный канал: данные шифруются и выгружаются прямо в зашифрованные боты.

COLDRIVER Using New Malware To Steal Documents From Western Targets and NGOs | Google Cloud Blog

Russian government-backed group COLDRIVER is using LOSTKEYS malware to steal files and system information from NGOs and western targets.

cloud.google.com

По данным Google, малварь распространяется через ClickFix-фишинг - атакующий имитирует багрепорты и патчи, часто оформленные под pull request или “security fix”. Жертва получает убедительное сообщение с «фиксом», открывает вложение - и сразу же активирует LostKey.

Инструмент написан на Go, использует XOR-шифрование для конфигураций, внедряет DLL с антидебагом и токен-граббером. Инфраструктура связана с предыдущими APT-операциями ColdRiver, включая фишинг учёных, политиков и аналитиков. Минюст США уже выдвинул обвинения двум участникам, напрямую работающим с ФСБ.

Операции координируются через Telegram и ProtonMail, что затрудняет трекинг в реальном времени. Используются легитимные сервисы хранения (Google Drive, OneDrive) в качестве временных хостов полезной нагрузки. Западные инфосек-агентства усиливают отслеживание этих каналов, но ColdRiver продолжает быстро адаптироваться.

 

[proexp]

Исследователи из Google TAG и Mandiant раскрыли новую кампанию ColdRiver (также известной как APT29/BlueCharlie), связанной с российской ФСБ. Группа внедряет малозаметный малварь LostKey, фокусируясь на краже документов у западных НКО, исследователей и правозащитников. Новая особенность - Telegram-каналы как C2 и эксфильтрационный канал: данные шифруются и выгружаются прямо в зашифрованные боты.

COLDRIVER Using New Malware To Steal Documents From Western Targets and NGOs | Google Cloud Blog

Russian government-backed group COLDRIVER is using LOSTKEYS malware to steal files and system information from NGOs and western targets.

cloud.google.com

По данным Google, малварь распространяется через ClickFix-фишинг - атакующий имитирует багрепорты и патчи, часто оформленные под pull request или “security fix”. Жертва получает убедительное сообщение с «фиксом», открывает вложение - и сразу же активирует LostKey.

Инструмент написан на Go, использует XOR-шифрование для конфигураций, внедряет DLL с антидебагом и токен-граббером. Инфраструктура связана с предыдущими APT-операциями ColdRiver, включая фишинг учёных, политиков и аналитиков. Минюст США уже выдвинул обвинения двум участникам, напрямую работающим с ФСБ.

Операции координируются через Telegram и ProtonMail, что затрудняет трекинг в реальном времени. Используются легитимные сервисы хранения (Google Drive, OneDrive) в качестве временных хостов полезной нагрузки. Западные инфосек-агентства усиливают отслеживание этих каналов, но ColdRiver продолжает быстро адаптироваться.

Сразу всплывает парочку вопросов
внедряет DLL с антидебагом и токен-граббером - дополнительный закреп?

открывает вложение - вложение то какое?

*Операции координируются через Telegram и ProtonMail, что затрудняет трекинг в реальном времени. - что бл#@ простите?)

Используются легитимные сервисы хранения (Google Drive, OneDrive) в качестве временных хостов полезной нагрузки - это тоже сомнительно как-то.