グーグル、ロシアのコールドリバー社製マルウェア「LOSTKEYS」が欧米の外交官やジャーナリストを標的にしていると警告

ロシアのサイバー集団「コールドリバー」、欧米人物を標的に新マルウェアを展開

グーグルは、ロシア連邦保安庁（FSB）とも関係のあるロシア系ハッキンググループ「コールドリバー」に関連する新種のマルウェア「LOSTKEYS」を発見した。

このマルウェアは、機密性の高い人物や組織を標的にファイルやシステム・データを盗み出すという、グループのサイバースパイ活動が大幅にエスカレートしたことを意味する。

LOSTKEYSとは何ですか？

LOSTKEYSは、システムにこっそりと侵入し、ドキュメント、スプレッドシート、ログイン認証情報などの特定のファイルを抽出するように設計されています。

このマルウェアの機能は、貴重なシステム情報の収集にまで及び、その情報はコールド・リバーのオペレーターに送信される。

グーグルのウェスリー・シールズによれば、LOSTKEYSはハッキング・グループのツールセットに新たな展開をもたらし、スパイ活動のツールキットの幅を広げたという。

このマルウェアは驚くべき精度で動作し、指定されたディレクトリに保存されている特定のファイルをターゲットにする。

そのステルス・アプローチにより、コールドリバーはターゲットに警告することなく重要な情報を収集することができ、サイバー作戦において非常に効果的なツールとなる。

コールド・リバー、注目されるサイバー攻撃の長い歴史

コールド・リバーは、これまでさまざまな別名で確認されており、欧米各地の著名な個人や機関を狙ったサイバー攻撃で長年の実績がある。

このグループは、ロシアの地政学的利益を促進するための情報収集に主眼を置いている。

ここ数カ月、2025年1月から4月にかけて、寒河江は西側諸国の政府顧問（現職、元職を問わず）、軍人、ジャーナリスト、国際的なシンクタンクのメンバーを標的にした。

注目すべきは、ウクライナ紛争に関係する人物もグループの監視対象になっていることだ。

これらの継続的な攻撃は、コールドリバーの戦略目標である情報収集に合致している。

コールドリバーはいかにして欺瞞的な手口で被害者を狙うのか

LOSTKEYSの展開は、偽のCAPTCHAページから始まる。

このページはユーザーを騙して悪意のあるコマンドを実行させ、マルウェアを起動させる。

ユーザーが操作すると、悪意のあるPowerShellコードがクリップボードにコピーされ、Windowsの"run"ダイアログから実行される。

コマンドが実行されると、マルウェアはターゲットのデバイスへのダウンロードとインストールを開始し、デバイスの正当性を確認するための検証プロセスから始まる。

一度インストールされると、LOSTKEYSはバックグラウンドで静かに実行され、ユーザーに警告することなく、機密ファイル、ログイン情報、システムデータを抽出します。

この高度なターゲティングシステムにより、マルウェアは価値の高いターゲットのみに展開され、各攻撃のインパクトを最大化する。

コールドリバーの過去の作戦：核実験から電子メール漏洩まで

コールド・リバーは以前から、その大胆かつ大胆な作戦で注目を集めてきた。

2022年半ば、このグループは米国の3つの核研究施設にサイバー攻撃を仕掛けたとして告発された。

同年末には、リチャード・ディアラブ元英国諜報部長の私用メール流出事件や、EU離脱派に関連する複数の個人との関係も指摘された。

これらの作戦は、地政学上の微妙な問題について情報を収集し、ロシアの利益を促進するための広範な努力の一環であった。

LOSTKEYSマルウェアの使用を含む、コールドリバー社のサイバー能力の継続的な進化は、国家が支援するハッキング作戦の洗練度が厄介なほどエスカレートしていることを示している。

サイバーセキュリティの専門家が脅威の拡大を警告

LOSTKEYSの台頭により、サイバーセキュリティの専門家たちは、コールドリバーのような国家に支援されたハッキンググループによる脅威の増大について警鐘を鳴らしている。

このような集団が戦術を洗練させるにつれて、特に政治的・軍事的活動に携わるような機密性の高い分野の組織や個人は、機密情報の窃取を目的とした攻撃に対してますます脆弱になっている。

グーグルのスレット・インテリジェンス・グループは、このような巧妙なサイバー脅威がもたらすリスクを軽減するため、標的となる組織に対し、システムの定期的なアップデートや監視プロトコルの強化など、より強力なセキュリティ対策を導入するよう促している。