SIMPLEFIX Зловреден софтуер
Руската група за усъвършенствани постоянни заплахи (APT) COLDRIVER е свързана с нова вълна от атаки в стил ClickFix, въвеждайки две семейства леки зловредни програми: BAITSWITCH и SIMPLEFIX. Изследователи по сигурността идентифицираха тази многоетапна кампания през септември 2025 г. BAITSWITCH действа като програма за изтегляне, която в крайна сметка доставя SIMPLEFIX, задна вратичка, базирана на PowerShell.
COLDRIVER, известна още с псевдоними като Callisto, Star Blizzard и UNC4057, е активна от 2019 г., като е насочена към широк спектър от организации. Ранните кампании разчитаха на фишинг, за да пренасочват жертвите към страници за събиране на идентификационни данни. С течение на времето групата е разработила персонализирани инструменти като SPICA и LOSTKEYS, което подчертава нарастващата ѝ техническа сложност.
Съдържание
ClickFix: Доказан, постоянен вектор за атака
Тази APT група е използвала преди това тактики ClickFix, документирани за първи път през май 2025 г. В тези кампании фалшиви уебсайтове са предлагали измамни CAPTCHA подкани, подвеждайки жертвите да изпълняват PowerShell команди, които са доставяли LOSTKEYS Visual Basic Script.
Въпреки че ClickFix не е нито нов, нито силно усъвършенстван, многократното му използване демонстрира ефективността му като вектор на инфекция. Последните атаки поддържат същата обща методология: жертвите са подведени да стартират злонамерен DLL файл чрез диалоговия прозорец „Изпълнение“ на Windows, уж за да изпълнят CAPTCHA проверка.
Анатомия на атакуващата верига
Атаката протича по следния начин:
DLL файлът BAITSWITCH се изпълнява и се свързва с контролиран от нападателя домейн (captchanom.top), за да извлече бекдора SIMPLEFIX. Показва се документ-примамка, хостван в Google Drive, за да разсее жертвата.
Няколко HTTP заявки се изпращат до един и същ сървър за предаване на системна информация, получаване на команди за запазване, съхраняване на криптирани полезни товари в системния регистър на Windows, изтегляне на PowerShell stager и изтриване на историята на диалоговия прозорец „Изпълнение“, за да се прикрият следите.
PowerShell stager изтегля SIMPLEFIX от southprovesolutions.com. SIMPLEFIX установява връзка със сървър за командване и управление (C2), което позволява изпълнението на отдалечени PowerShell скриптове, команди и двоични файлове.
PowerShell скрипт, изпълняван чрез SIMPLEFIX, е насочен към предварително определен набор от директории и типове файлове за извличане, отразявайки припокривания с предишни LOSTKEYS кампании.
Целеви профил и стратегически фокус
Дейностите на COLDRIVER са насочени предимно към участници от гражданското общество, включително:
- Членове на неправителствени организации и мозъчни тръстове в западните региони
- Защитници на правата на човека
- Лица, изгнани от Русия или пребиваващи в Русия
Настоящата кампания е в тясно съответствие с тази установена виктимология, засилвайки продължаващия интерес на групата към руското гражданско общество и свързаните с него мрежи.
