LOSTKEYS恶意软件：针对西方的隐形间谍工具

一种名为LOSTKEYS的新型恶意软件已成为一系列带有政治色彩的秘密网络行动的首选工具。LOSTKEYS 于 2023 年底首次被发现，并一直活跃于 2025 年初。它是与俄罗斯有关联的黑客组织 COLDRIVER 战略转变的一部分，该组织以针对西方知名人士和机构的网络间谍活动而闻名。

与旨在大规模破坏或金融盗窃的传统恶意软件不同，LOSTKEYS 专为高度选择性、信息驱动的攻击而设计。其主要目的是悄悄渗透系统、窃取敏感文件并发回关键系统信息——所有这些都在避免被发现的情况下进行。

LOSTKEYS 是什么？

LOSTKEYS 是一款定制的恶意软件程序，能够从受害者计算机上的指定文件夹中提取特定类型的文件。除了收集文件外，它还会将系统信息和正在运行的进程传输给攻击者。LOSTKEYS 的独特之处在于其精准性：它只针对那些被认为有价值的系统，这使其明显是一款用于间谍活动而非大规模入侵的工具。

这款恶意软件的名称或许暗示着随机性，但它的部署方式却绝非如此。据观察，它曾针对政府顾问、军事人员、记者、智库、非政府组织以及与乌克兰有关系的个人发动攻击。这些目标的具体性和有限的范围表明，它们的目的并非用于犯罪牟利，而是情报收集。

它是如何工作的？

感染过程始于一种名为ClickFix的高级社会工程学手段。受害者会被引诱到一个带有伪造验证码的诱饵网站。系统会误以为用户正在验证身份，并提示用户复制一段 PowerShell 命令并通过 Windows 的“运行”对话框运行。此命令会启动恶意软件的下载链。

接下来是一个旨在逃避检测的多阶段过程。第一个有效载荷会执行环境检查，很可能是为了检测它是否在虚拟机中运行——这在恶意软件分析实验室中很常见。如果环境检查通过，该命令将检索一个Base64编码的脚本，最终执行LOSTKEYS恶意软件。一旦运行，它会悄悄扫描主机系统，查找预先定义的文件类型和目录，然后将数据发送到远程服务器。

幕后黑手是谁？

LOSTKEYS 已被归咎于威胁组织 COLDRIVER，该组织还以 Callisto、 Star Blizzard和 UNC4057 等名称进行追踪。该组织传统上依靠凭证钓鱼来访问电子邮件帐户并窃取敏感通信信息。然而，LOSTKEYS 及其前身SPICA预示着一个新方向：直接入侵设备并提取数据。

安全专家指出，COLDRIVER 通常出于地缘政治动机。其目标和策略与国家支持的间谍活动密切相关，其过去的活动已显示出对西方外交政策、国防和媒体领域的兴趣。

LOSTKEYS 的影响

LOSTKEYS 的出现反映了网络攻击的一个大趋势：将欺骗性的社会工程学与定制恶意软件相结合，进行有针对性的监控。这些手段隐蔽、有效且难以追踪，受害者往往浑然不知自己已被入侵。

其影响深远。对于处理敏感问题的政府机构和组织，尤其是与东欧相关的机构和组织而言，静默数据泄露的风险空前高涨。由于 LOSTKEYS 并非旨在破坏或干扰数据，而是悄无声息地获取数据，因此其存在可能在很长一段时间内都无法被发现。

此外，ClickFix 等攻击手段的日益普及表明攻击者正在不断调整策略。他们并非试图突破强化的防御机制，而是利用人类行为——诱使用户自行运行恶意命令。这种方法可以绕过许多传统的安全控制措施和防病毒保护措施。

更广泛的趋势

LOSTKEYS 并非孤立运作。其他威胁行为者已将 ClickFix 方法用于传播各种恶意软件，包括银行木马和 Mac 专用数据窃取程序。诸如EtherHiding之类的技术（可在区块链交易中隐藏恶意代码）正被应用于这些活动，这无疑加大了检测难度。

一位研究人员最近发现了一个名为 MacReaper 的大规模攻击活动，该活动入侵了超过 2,800 个合法网站，并向其发送了虚假的验证码页面。这些欺骗性入口点为各种恶意软件家族提供服务，其中包括针对 macOS 系统的Atomic Stealer 。

保持知情和安全

尽管 LOSTKEYS 的技术复杂性及其传播机制令人担忧，但最好的防御措施仍然是保持警惕。当系统提示用户运行不熟悉的命令或与意外的 Web 表单交互时，用户应格外谨慎。组织机构，尤其是处理敏感数据或政策的组织机构，应继续在培训、端点保护和威胁情报方面投入资金。

LOSTKEYS 提醒我们，现代威胁往往潜伏在不易察觉的环境中。数字时代，最大的安全隐患可能并非那些喧嚣的制造者，而是那些默默无闻的操作者。