SIMPLEFIXi pahavara
Venemaa edasijõudnud püsiva ohu (APT) rühmitus COLDRIVER on seostatud uue ClickFixi-tüüpi rünnakute lainega, mis tõi kaasa kaks kerget pahavara perekonda: BAITSWITCH ja SIMPLEFIX. Turvauurijad tuvastasid selle mitmeastmelise kampaania 2025. aasta septembris. BAITSWITCH toimib allalaadijana, mis lõpuks edastab SIMPLEFIXi, PowerShelli-põhise tagaukse.
COLDRIVER, tuntud ka varjunimede Callisto, Star Blizzard ja UNC4057 all, on tegutsenud alates 2019. aastast, sihtides laia valikut organisatsioone. Varased kampaaniad tuginesid andmepüügile, et suunata ohvrid mandaatide kogumise lehtedele. Aja jooksul on rühmitus välja töötanud kohandatud tööriistu nagu SPICA ja LOSTKEYS, mis rõhutab selle kasvavat tehnilist keerukust.
Sisukord
ClickFix: tõestatud ja püsiv rünnakuvektor
See APT rühmitus on varem kasutanud ClickFixi taktikat, mida esmakordselt dokumenteeriti 2025. aasta mais. Nendes kampaaniates pakkusid võltsveebisaidid petturlikke CAPTCHA-viipasid, meelitades ohvreid käivitama PowerShelli käske, mis edastasid LOSTKEYS Visual Basic skripti.
Kuigi ClickFix ei ole uudne ega ka väga arenenud, näitab selle korduv kasutamine selle tõhusust nakkusvektorina. Uusimad rünnakud järgivad sama üldist metoodikat: ohvreid petetakse Windowsi käivitamisdialoogi kaudu pahatahtlikku DLL-i käivitama, väidetavalt CAPTCHA-kontrolli läbiviimiseks.
Rünnakuahela anatoomia
Rünnak toimub järgmiselt:
BAITSWITCH DLL käivitatakse ja luuakse ühendus ründaja kontrollitava domeeniga (captchanom.top), et hankida SIMPLEFIXi tagauks. Ohvri tähelepanu kõrvalejuhtimiseks kuvatakse Google Drive'is majutatud peibutusdokument.
Samale serverile saadetakse mitu HTTP-päringut süsteemiteabe edastamiseks, püsivuskäskude vastuvõtmiseks, krüptitud kasulike koormuste salvestamiseks Windowsi registrisse, PowerShelli stageri allalaadimiseks ja hiljutise käivitusdialoogi ajaloo kustutamiseks jälgede varjamiseks.
PowerShelli testimisprogramm laadib SIMPLEFIXi alla aadressilt southprovesolutions.com. SIMPLEFIX loob ühenduse Command-and-Control (C2) serveriga, võimaldades PowerShelli skriptide, käskude ja binaarfailide kaugkäivitamist.
SIMPLEFIXi kaudu käivitatav PowerShelli skript sihib väljafiltreerimiseks eelnevalt määratletud kataloogide ja failitüüpide komplekti, peegeldades kattumisi varasemate LOSTKEYSi kampaaniatega.
Sihtprofiil ja strateegiline fookus
COLDRIVERi tegevus keskendub peamiselt kodanikuühiskonna osalejatele, sealhulgas:
- Läänepiirkondade vabaühenduste ja mõttekodade liikmed
- Inimõiguste kaitsjad
- Venemaalt pagendatud või Venemaal elavad isikud
Praegune kampaania on tihedalt seotud selle väljakujunenud ohvrite käsitlusega, tugevdades rühmituse jätkuvat huvi Venemaa kodanikuühiskonna ja sellega seotud võrgustike vastu.
