Rabattilbud med flere licenser
Trusseldatabase Advanced Persistent Threat (APT) SIMPLEFIX-malware

SIMPLEFIX-malware

Med Mezo i Advanced Persistent Threat (APT), Malware
Oversæt til:

Den russiske gruppe af avancerede, vedvarende trusler (APT) COLDRIVER er blevet forbundet med en ny bølge af ClickFix-lignende angreb, der introducerer to letvægts malwarefamilier: BAITSWITCH og SIMPLEFIX. Sikkerhedsforskere identificerede denne flertrinskampagne i september 2025. BAITSWITCH fungerer som en downloader, der i sidste ende leverer SIMPLEFIX, en PowerShell-baseret bagdør.

COLDRIVER, også kendt under aliasser som Callisto, Star Blizzard og UNC4057, har været aktiv siden 2019 og har rettet sig mod en bred vifte af organisationer. Tidlige kampagner var afhængige af spear-phishing for at omdirigere ofre til sider, der indsamler legitimationsoplysninger. Med tiden har gruppen udviklet brugerdefinerede værktøjer som SPICA og LOSTKEYS, hvilket fremhæver dens voksende tekniske sofistikering.

ClickFix: En dokumenteret, vedvarende angrebsvektor

Denne APT-gruppe har tidligere anvendt ClickFix-taktikker, først dokumenteret i maj 2025. I disse kampagner tilbød falske websteder svigagtige CAPTCHA-prompter og narrede ofrene til at udføre PowerShell-kommandoer, der leverede LOSTKEYS Visual Basic-scriptet.

Selvom ClickFix hverken er nyt eller særligt avanceret, demonstrerer dets gentagne brug dets effektivitet som infektionsvektor. De seneste angreb anvender den samme generelle metode: ofrene bliver narret til at køre en ondsindet DLL via Windows Kør-dialogboks, angiveligt for at udføre en CAPTCHA-kontrol.

Anatomi af angrebskæden

Angrebet forløber som følger:

BAITSWITCH DLL'en udføres og opretter forbindelse til et angriberkontrolleret domæne (captchanom.top) for at hente SIMPLEFIX-bagdøren. Et lokkedokument, der er hostet på Google Drive, vises for at distrahere offeret.

Flere HTTP-anmodninger sendes til den samme server for at overføre systemoplysninger, modtage kommandoer til persistens, gemme krypterede nyttelast i Windows-registreringsdatabasen, downloade en PowerShell-stager og slette den seneste historik for Kør-dialogbokse for at dække spor.

PowerShell-stageren downloader SIMPLEFIX fra southprovesolutions.com. SIMPLEFIX opretter en forbindelse til en Command-and-Control (C2)-server, hvilket muliggør udførelse af eksterne PowerShell-scripts, kommandoer og binære filer.

Et PowerShell-script, der udføres via SIMPLEFIX, er rettet mod et foruddefineret sæt af mapper og filtyper til eksfiltrering og afspejler overlap med tidligere LOSTKEYS-kampagner.

Målprofil og strategisk fokus

COLDRIVERs aktiviteter fokuserer primært på civilsamfundsaktører, herunder:

  • Medlemmer af NGO'er og tænketanke i vestlige regioner
  • Menneskerettighedsforkæmpere
  • Personer i eksil fra eller bosiddende i Rusland

    • Den nuværende kampagne er tæt på denne etablerede viktimologi og forstærker gruppens fortsatte interesse i det russiske civilsamfund og relaterede netværk.

    Trending

    Mest sete

    Indlæser...