عرض خصم التراخيص المتعددة
قاعدة بيانات التهديد التهديد المستمر المتقدم (APT) برنامج SIMPLEFIX الخبيث

برنامج SIMPLEFIX الخبيث

بواسطة Mezo في التهديد المستمر المتقدم (APT), البرمجيات الخبيثة
ترجمة الى:

ارتبطت مجموعة التهديدات المتقدمة المستمرة (APT) الروسية COLDRIVER بموجة جديدة من هجمات شبيهة بهجمات ClickFix، حيث أطلقت عائلتين من البرامج الضارة خفيفة الوزن: BAITSWITCH وSIMPLEFIX. اكتشف باحثون أمنيون هذه الحملة متعددة المراحل في سبتمبر 2025. تعمل BAITSWITCH كأداة تنزيل تُدخل في النهاية SIMPLEFIX، وهو باب خلفي قائم على PowerShell.

مجموعة COLDRIVER، المعروفة أيضًا بأسماء مستعارة مثل Callisto وStar Blizzard وUNC4057، نشطة منذ عام 2019، مستهدفةً مجموعة واسعة من المؤسسات. اعتمدت حملاتها الأولى على التصيد الاحتيالي الموجه لإعادة توجيه الضحايا إلى صفحات جمع بيانات الاعتماد. مع مرور الوقت، طورت المجموعة أدوات مخصصة مثل SPICA وLOSTKEYS، مما يُبرز تطورها التقني المتزايد.

ClickFix: ناقل هجومي ثابت ومستمر

لقد سبق لمجموعة APT هذه أن نشرت تكتيكات ClickFix، والتي تم توثيقها لأول مرة في مايو 2025. في تلك الحملات، عرضت مواقع الويب المزيفة مطالبات CAPTCHA احتيالية، مما خدع الضحايا لتنفيذ أوامر PowerShell التي سلمت البرنامج النصي LOSTKEYS Visual Basic.

مع أن ClickFix ليس جديدًا ولا متقدمًا للغاية، إلا أن استخدامه المتكرر يُثبت فعاليته كناقل للعدوى. تتبع الهجمات الأخيرة المنهجية العامة نفسها: يتم خداع الضحايا لتشغيل ملف DLL ضار عبر نافذة "تشغيل" في Windows، ظاهريًا لإكمال فحص CAPTCHA.

تشريح سلسلة الهجوم

يتم الهجوم على النحو التالي:

يتم تنفيذ ملف DLL الخاص بـ BAITSWITCH ويتصل بنطاق يتحكم به المهاجم (captchanom.top) لجلب برمجية SIMPLEFIX الخلفية. يتم عرض مستند وهمي مُستضاف على Google Drive لتشتيت انتباه الضحية.

يتم إرسال العديد من طلبات HTTP إلى نفس الخادم لنقل معلومات النظام، وتلقي أوامر للاستمرار، وتخزين الحمولات المشفرة في سجل Windows، وتنزيل برنامج PowerShell stager، ومحو سجل مربع حوار التشغيل الأخير لتغطية الآثار.

يقوم مُنظِّم PowerShell بتنزيل SIMPLEFIX من southprovesolutions.com. يُنشئ SIMPLEFIX اتصالاً بخادم الأوامر والتحكم (C2)، مما يُتيح تنفيذ نصوص PowerShell وأوامرها وملفاتها الثنائية عن بُعد.

يستهدف البرنامج النصي PowerShell الذي يتم تنفيذه عبر SIMPLEFIX مجموعة محددة مسبقًا من الدلائل وأنواع الملفات للاستخراج، مما يعكس التداخلات مع حملات LOSTKEYS السابقة.

الملف الشخصي المستهدف والتركيز الاستراتيجي

تركز عمليات COLDRIVER في المقام الأول على الجهات الفاعلة في المجتمع المدني، بما في ذلك:

  • أعضاء المنظمات غير الحكومية ومراكز الفكر في المناطق الغربية
  • المدافعون عن حقوق الإنسان
  • الأفراد المنفيون من روسيا أو المقيمون فيها

    • وتتماشى الحملة الحالية بشكل وثيق مع هذه النظرية الراسخة حول الضحايا، مما يعزز الاهتمام المستمر للمجموعة بالمجتمع المدني الروسي والشبكات ذات الصلة.

    الشائع

    رسائل البريد الإلكتروني الاحتيالية التي تنتظر اهتمامك

    التصيد الاحتيالي, رسائل إلكترونية مزعجة
    لا يزال البريد الإلكتروني أحد أكثر وسائل الهجوم شيوعًا لدى مجرمي الإنترنت، وتُعد عمليات الاحتيال المُتخفية في صورة إشعارات الحسابات خطيرة بشكل خاص. ومن بين هذه الحملات الاحتيالية حملة "رسائل تنتظر اهتمامك" عبر البريد الإلكتروني، والتي تخدع المستلمين لزيارة مواقع تصيد احتيالي مصممة لسرقة بيانات اعتماد حساسة. يُعد فهم آلية عمل هذا المخطط أمرًا بالغ الأهمية لتجنب سرقة الهوية والاحتيال المالي...

    الأكثر مشاهدة

    البرمجيات الخبيثة

    التصيد الاحتيالي, رسائل إلكترونية مزعجة
    34,616
    رسالة الاحتيال "Apple Pay Suspended" هي نوع من أساليب التصيد الاحتيالي التي تستهدف مستخدمي Apple Pay. تدعي الرسالة أن محفظة Apple Pay الخاصة بالمستخدم قد تم تعليقها وتحثهم على النقر فوق رابط لاستعادتها. ومع ذلك ، سيؤدي النقر فوق الارتباط إلى نقل المستخدم إلى موقع ويب مزيف مصمم لسرقة معلوماته الشخصية والمالية. إذا وقع المستخدم ضحية لهذا المخطط ، فقد تكون العواقب وخيمة ، بما في ذلك الخسائر...
    جار التحميل...