SIMPLEFIX Κακόβουλο Λογισμικό
Η ρωσική ομάδα προηγμένων μόνιμων απειλών (APT) COLDRIVER έχει συνδεθεί με ένα νέο κύμα επιθέσεων τύπου ClickFix, εισάγοντας δύο οικογένειες ελαφρών κακόβουλων προγραμμάτων: το BAITSWITCH και το SIMPLEFIX. Ερευνητές ασφαλείας εντόπισαν αυτήν την πολυσταδιακή καμπάνια τον Σεπτέμβριο του 2025. Το BAITSWITCH λειτουργεί ως πρόγραμμα λήψης που τελικά παρέχει το SIMPLEFIX, ένα backdoor που βασίζεται στο PowerShell.
Το COLDRIVER, επίσης γνωστό με ψευδώνυμα όπως Callisto, Star Blizzard και UNC4057, δραστηριοποιείται από το 2019, στοχεύοντας σε ένα ευρύ φάσμα οργανισμών. Οι πρώτες εκστρατείες βασίζονταν στο spear-phishing για να ανακατευθύνουν τα θύματα σε σελίδες συλλογής διαπιστευτηρίων. Με την πάροδο του χρόνου, η ομάδα έχει αναπτύξει προσαρμοσμένα εργαλεία όπως το SPICA και το LOSTKEYS, αναδεικνύοντας την αυξανόμενη τεχνική της πολυπλοκότητα.
Πίνακας περιεχομένων
ClickFix: Ένας αποδεδειγμένος, επίμονος φορέας επίθεσης
Αυτή η ομάδα APT είχε αναπτύξει στο παρελθόν τακτικές ClickFix, οι οποίες καταγράφηκαν για πρώτη φορά τον Μάιο του 2025. Σε αυτές τις καμπάνιες, ψεύτικοι ιστότοποι προσέφεραν δόλιες προτροπές CAPTCHA, ξεγελώντας τα θύματα ώστε να εκτελέσουν εντολές PowerShell που παρείχαν το LOSTKEYS Visual Basic Script.
Ενώ το ClickFix δεν είναι ούτε καινοτόμο ούτε ιδιαίτερα προηγμένο, η επαναλαμβανόμενη χρήση του καταδεικνύει την αποτελεσματικότητά του ως φορέα μόλυνσης. Οι τελευταίες επιθέσεις διατηρούν την ίδια γενική μεθοδολογία: τα θύματα εξαπατώνται ώστε να εκτελέσουν ένα κακόβουλο DLL μέσω του παραθύρου διαλόγου "Εκτέλεση" των Windows, δήθεν για να ολοκληρώσουν έναν έλεγχο CAPTCHA.
Ανατομία της Αλυσίδας Επίθεσης
Η επίθεση εξελίσσεται ως εξής:
Το αρχείο DLL BAITSWITCH εκτελείται και συνδέεται με έναν τομέα που ελέγχεται από τον εισβολέα (captchanom.top) για να ανακτήσει την κερκόπορτα SIMPLEFIX. Εμφανίζεται ένα έγγραφο-δόλωμα που φιλοξενείται στο Google Drive για να αποσπάσει την προσοχή του θύματος.
Πολλά αιτήματα HTTP αποστέλλονται στον ίδιο διακομιστή για τη μετάδοση πληροφοριών συστήματος, τη λήψη εντολών για διατήρηση, την αποθήκευση κρυπτογραφημένων ωφέλιμων φορτίων στο μητρώο των Windows, τη λήψη ενός PowerShell stager και τη διαγραφή του πρόσφατου ιστορικού παραθύρων διαλόγου "Εκτέλεση" για την κάλυψη των ιχνών.
Το πρόγραμμα PowerShell stager κατεβάζει το SIMPLEFIX από το southprovesolutions.com. Το SIMPLEFIX δημιουργεί μια σύνδεση με έναν διακομιστή Command-and-Control (C2), επιτρέποντας την εκτέλεση απομακρυσμένων σεναρίων, εντολών και δυαδικών αρχείων PowerShell.
Ένα σενάριο PowerShell που εκτελείται μέσω του SIMPLEFIX στοχεύει σε ένα προκαθορισμένο σύνολο καταλόγων και τύπων αρχείων για εξαγωγή, ενώ ο κατοπτρισμός επικαλύπτεται με προηγούμενες καμπάνιες LOSTKEYS.
Προφίλ στόχου και στρατηγική εστίαση
Οι δραστηριότητες του COLDRIVER επικεντρώνονται κυρίως σε φορείς της κοινωνίας των πολιτών, όπως:
- Μέλη ΜΚΟ και ομάδων προβληματισμού στις δυτικές περιοχές
Η τρέχουσα εκστρατεία ευθυγραμμίζεται στενά με αυτήν την καθιερωμένη θυματολογία, ενισχύοντας το συνεχές ενδιαφέρον της ομάδας για τη ρωσική κοινωνία των πολιτών και τα σχετικά δίκτυα.
