Slevová nabídka pro více licencí
Databáze hrozeb Pokročilá trvalá hrozba (APT) SimpleFix Malware

SimpleFix Malware

V roce Mezo v roce Pokročilá trvalá hrozba (APT), Malware
Přeložit do:

Ruská skupina pro pokročilé perzistentní hrozby (APT) COLDRIVER byla spojována s novou vlnou útoků ve stylu ClickFix, které představily dvě rodiny lehkého malwaru: BAITSWITCH a SIMPLEFIX. Bezpečnostní výzkumníci identifikovali tuto vícestupňovou kampaň v září 2025. BAITSWITCH funguje jako stahovač, který nakonec doručí SIMPLEFIX, backdoor založený na PowerShellu.

COLDRIVER, známý také pod přezdívkami jako Callisto, Star Blizzard a UNC4057, je aktivní od roku 2019 a zaměřuje se na široké spektrum organizací. První kampaně se spoléhaly na spear phishing, který přesměrovával oběti na stránky pro získávání přihlašovacích údajů. Postupem času skupina vyvinula vlastní nástroje, jako jsou SPICA a LOSTKEYS, což zdůrazňuje její rostoucí technickou sofistikovanost.

ClickFix: Osvědčený a trvalý vektor útoku

Tato APT skupina již dříve použila taktiku ClickFix, která byla poprvé zdokumentována v květnu 2025. V těchto kampaních falešné webové stránky nabízely podvodné výzvy CAPTCHA, čímž lstí přiměly oběti ke spuštění příkazů PowerShellu, které doručovaly skript LOSTKEYS Visual Basic.

Ačkoliv ClickFix není ani nový, ani velmi pokročilý, jeho opakované používání demonstruje jeho účinnost jako vektoru infekce. Nejnovější útoky si zachovávají stejnou obecnou metodologii: oběti jsou oklamány a spouštějí škodlivou knihovnu DLL prostřednictvím dialogového okna Spustit ve Windows, zdánlivě za účelem provedení kontroly CAPTCHA.

Anatomie útočného řetězce

Útok probíhá následovně:

Soubor DLL BAITSWITCH se spustí a připojí k doméně ovládané útočníkem (captchanom.top), aby načetl zadní vrátka SIMPLEFIX. Pro odvedení pozornosti oběti se zobrazí návnadový dokument hostovaný na Disku Google.

Na stejný server se odesílá několik HTTP požadavků za účelem přenosu systémových informací, přijímání příkazů pro trvalost, ukládání šifrovaných dat do registru systému Windows, stahování modulu PowerShell a vymazání nedávné historie dialogového okna Spustit, aby se zakryly stopy.

Stager PowerShellu stahuje SIMPLEFIX z webu southprovesolutions.com. SIMPLEFIX navazuje spojení se serverem Command-and-Control (C2), což umožňuje spouštění vzdálených skriptů, příkazů a binárních souborů PowerShellu.

Skript PowerShellu spuštěný pomocí SIMPLEFIXu cílí na předdefinovanou sadu adresářů a typů souborů pro exfiltraci, zrcadlí překryvy s předchozími kampaněmi LOSTKEYS.

Cílový profil a strategické zaměření

Činnost organizace COLDRIVER se primárně zaměřuje na aktéry občanské společnosti, včetně:

  • Členové nevládních organizací a think tanků v západních regionech
  • Obránci lidských práv
  • Osoby vyhnané z Ruska nebo pobývající v Rusku

    • Současná kampaň úzce souvisí s touto zavedenou viktimologií a posiluje tak trvalý zájem skupiny o ruskou občanskou společnost a související sítě.

    Trendy

    Nejvíce shlédnuto

    Načítání...