LOSTKEYS惡意軟體：針對西方的隱形間諜工具

一種名為LOSTKEYS的新型惡意軟體已成為一系列帶有政治色彩的秘密網路行動的首選工具。 LOSTKEYS 於 2023 年底首次被發現，並一直活躍使用至 2025 年初，它是與俄羅斯有關聯的駭客組織 COLDRIVER 戰略轉變的一部分，該組織以針對西方知名個人和機構的網路間諜活動而聞名。

與用於大規模破壞或金融盜竊的傳統惡意軟體不同，LOSTKEYS 專門針對高度選擇性、資訊驅動的攻擊。其主要目的是悄悄滲透系統、竊取敏感文件並發回關鍵系統詳細資訊——同時避免被發現。

LOSTKEYS 是什麼？

LOSTKEYS 是一種客製化的惡意軟體程序，能夠從受害者電腦上的指定資料夾中提取特定檔案類型。除了收集文件之外，它還將系統資訊和正在運行的進程傳回給攻擊者。 LOSTKEYS 的獨特之處在於它的精確性：它只針對被認為有價值的系統，使其成為一種明顯為間諜活動而非大規模入侵而設計的工具。

該惡意軟體的名稱可能暗示著隨機性，但它的部署並非如此。人們觀察到，這種攻擊針對的是政府顧問、軍事人員、記者、智庫、非政府組織以及與烏克蘭有關係的個人。這些目標的具體性和有限的範圍表明它們用於情報收集而不是犯罪牟利。

它是如何運作的？

感染過程始於一種稱為ClickFix的高級社會工程形式。受害者被引誘至帶有偽造 CAPTCHA 挑戰的誘餌網站。由於相信他們正在驗證自己的身份，因此系統會提示使用者複製 PowerShell 命令並透過 Windows 執行對話方塊來執行它。此指令啟動惡意軟體下載鏈。

接下來是一個旨在逃避檢測的多階段過程。第一個有效載荷執行環境檢查，可能會檢測它是否在虛擬機器中運行——這在惡意軟體分析實驗室中很常見。如果環境檢查通過，該命令將檢索最終執行 LOSTKEYS 惡意軟體的 Base64 編碼腳本。一旦運行，它就會悄悄掃描主機系統，尋找預先定義的檔案類型和目錄，並將資料傳送到遠端伺服器。

幕後黑手是誰？

LOSTKEYS 被認為是威脅組織 COLDRIVER 所為，該組織也以 Callisto、 Star Blizzard和 UNC4057 等名稱進行追蹤。傳統上，該組織依靠憑證網路釣魚來存取電子郵件帳戶並竊取敏感通訊。然而，LOSTKEYS 及其前身SPICA預示著一個新方向：直接設備入侵和資料擷取。

安全專家指出，COLDRIVER 通常是出於地緣政治動機。其目標和策略與國家支持的間諜活動密切相關，其過去的活動表現出對西方外交政策、國防和媒體領域的興趣。

LOSTKEYS 的影響

LOSTKEYS 的出現反映了網路行動的一個更大趨勢：將欺騙性的社會工程與客製化的惡意軟體結合，以進行有針對性的監控。這些策略非常微妙、有效且難以追踪，受害者往往意識不到自己已經受到攻擊。

其影響十分重大。對於處理敏感問題的政府機構和組織，特別是與東歐有關的政府機構和組織來說，靜默資料外洩的風險從未如此高。由於 LOSTKEYS 的設計目的並非破壞或擾亂數據，而是悄悄收集數據，因此其存在可能在很長一段時間內都無法被發現。

此外，ClickFix 等策略的使用日益增多表明攻擊者正在不斷適應。它們不是試圖突破強化的防禦，而是利用人類的行為──誘使用戶自己運行惡意命令。這種方法可以繞過許多傳統的安全控制和防毒保護。

更廣泛的趨勢

LOSTKEYS 並不是孤立運作的。其他威脅行為者已重新利用 ClickFix 方法來傳播不同的惡意軟體，包括銀行木馬和 Mac 特定的資料竊取程式。這些活動使用了諸如EtherHiding之類的技術，可以在區塊鏈交易中隱藏惡意程式碼，這使得檢測變得更具挑戰性。

一位研究人員最近發現了一個名為 MacReaper 的大規模活動，其中超過 2,800 個合法網站受到攻擊並發送虛假的 CAPTCHA 頁面。這些欺騙性入口點為各種惡意軟體家族提供服務，包括針對 macOS 系統的Atomic Stealer 。

保持知情和安全

儘管 LOSTKEYS 的技術複雜性及其交付機制令人擔憂，但最好的防禦仍然是保持警覺。當提示執行不熟悉的命令或與意外的 Web 表單互動時，使用者應該小心謹慎。組織，尤其是處理敏感資料或政策的組織，應該繼續投資於培訓、端點保護和威脅情報。

LOSTKEYS 提醒我們，現代威脅常以不易察覺的方式出現。在數位時代，對安全構成最大威脅的可能不是那些製造噪音的人，而是那些默默無聞的操作者。