قیمت چند مجوز تخفیف
پایگاه داده تهدید تهدید مداوم پیشرفته (APT) بدافزار SIMPLEFIX

بدافزار SIMPLEFIX

تا Mezo در تهدید مداوم پیشرفته (APT), بدافزار
ترجمه به:

گروه تهدید پیشرفته مداوم (APT) روسی COLDRIVER با موج جدیدی از حملات به سبک ClickFix مرتبط شده است که دو خانواده بدافزار سبک وزن را معرفی می‌کند: BAITSWITCH و SIMPLEFIX. محققان امنیتی این کمپین چند مرحله‌ای را در سپتامبر 2025 شناسایی کردند. BAITSWITCH به عنوان یک دانلودکننده عمل می‌کند که در نهایت SIMPLEFIX، یک درب پشتی مبتنی بر PowerShell، را ارائه می‌دهد.

COLDRIVER که با نام‌های مستعاری مانند Callisto، Star Blizzard و UNC4057 نیز شناخته می‌شود، از سال ۲۰۱۹ فعال بوده و طیف وسیعی از سازمان‌ها را هدف قرار داده است. کمپین‌های اولیه برای هدایت قربانیان به صفحات جمع‌آوری اطلاعات محرمانه، به فیشینگ هدفمند متکی بودند. با گذشت زمان، این گروه ابزارهای سفارشی مانند SPICA و LOSTKEYS را توسعه داده است که نشان‌دهنده پیچیدگی فنی رو به رشد آن است.

کلیک‌فیکس: یک مسیر حمله‌ی اثبات‌شده و مداوم

این گروه APT پیش از این تاکتیک‌های ClickFix را که اولین بار در ماه مه ۲۰۲۵ مستند شده بود، به کار گرفته بود. در آن کمپین‌ها، وب‌سایت‌های جعلی با ارائه درخواست‌های جعلی CAPTCHA، قربانیان را فریب می‌دادند تا دستورات PowerShell را اجرا کنند که اسکریپت ویژوال بیسیک LOSTKEYS را تحویل می‌داد.

اگرچه ClickFix نه جدید است و نه خیلی پیشرفته، اما استفاده مکرر از آن، اثربخشی آن را به عنوان یک عامل آلودگی نشان می‌دهد. حملات اخیر از همان روش کلی استفاده می‌کنند: قربانیان فریب می‌خورند تا یک DLL مخرب را از طریق پنجره Run ویندوز اجرا کنند، ظاهراً برای تکمیل بررسی CAPTCHA.

آناتومی زنجیره حمله

حمله به شرح زیر انجام می‌شود:

فایل DLL مربوط به BAITSWITCH اجرا شده و به دامنه تحت کنترل مهاجم (captchanom.top) متصل می‌شود تا درب پشتی SIMPLEFIX را دریافت کند. یک سند جعلی که در گوگل درایو میزبانی می‌شود، برای پرت کردن حواس قربانی نمایش داده می‌شود.

چندین درخواست HTTP به یک سرور ارسال می‌شوند تا اطلاعات سیستم را منتقل کنند، دستورات لازم برای ماندگاری را دریافت کنند، فایل‌های رمزگذاری شده را در رجیستری ویندوز ذخیره کنند، یک استیجر پاورشل دانلود کنند و تاریخچه‌ی دیالوگ Run اخیر را برای پوشاندن ردپاها پاک کنند.

استیجر پاورشل، SIMPLEFIX را از southprovesolutions.com دانلود می‌کند. SIMPLEFIX با یک سرور فرماندهی و کنترل (C2) ارتباط برقرار می‌کند و اجرای اسکریپت‌ها، دستورات و فایل‌های باینری پاورشل را از راه دور امکان‌پذیر می‌سازد.

یک اسکریپت PowerShell که از طریق SIMPLEFIX اجرا می‌شود، مجموعه‌ای از دایرکتوری‌ها و انواع فایل‌ها را برای استخراج هدف قرار می‌دهد و همپوشانی‌هایی با کمپین‌های قبلی LOSTKEYS دارد.

مشخصات هدف و تمرکز استراتژیک

فعالیت‌های COLDRIVER در درجه اول بر بازیگران جامعه مدنی، از جمله موارد زیر، متمرکز است:

  • اعضای سازمان‌های مردم‌نهاد و اندیشکده‌ها در مناطق غربی
  • مدافعان حقوق بشر
  • افراد تبعید شده از روسیه یا ساکن در روسیه

    • کمپین فعلی با این قربانی‌شناسیِ جاافتاده همسو است و علاقه‌ی مداوم این گروه به جامعه‌ی مدنی روسیه و شبکه‌های مرتبط را تقویت می‌کند.

    پرطرفدار

    کلاهبرداری ایمیلی با پیام‌های منتظر توجه شما

    فیشینگ, هرزنامه
    ایمیل همچنان یکی از رایج‌ترین مسیرهای حمله برای مجرمان سایبری است و کلاهبرداری‌هایی که در قالب اعلان‌های حساب کاربری پنهان می‌شوند، به ویژه خطرناک هستند. یکی از این کمپین‌های کلاهبرداری، کلاهبرداری ایمیلی «پیام‌هایی در انتظار توجه شما» است که گیرندگان را فریب می‌دهد تا از سایت‌های فیشینگ که برای سرقت اطلاعات حساس طراحی شده‌اند، بازدید کنند. درک نحوه عملکرد این طرح برای جلوگیری از سرقت هویت،...

    پربیننده ترین

    بد افزار

    فیشینگ, هرزنامه
    34,616
    پیام کلاهبرداری «Apple Pay Suspended» نوعی تاکتیک فیشینگ است که کاربران Apple Pay را هدف قرار می دهد. در این پیام ادعا شده است که کیف پول Apple Pay کاربر به حالت تعلیق درآمده است و از آن‌ها می‌خواهد برای بازیابی آن روی پیوندی کلیک کنند. با این حال، با کلیک بر روی لینک، کاربر به یک وب سایت جعلی هدایت می شود که برای سرقت اطلاعات شخصی و مالی آنها طراحی شده است. اگر کاربر قربانی این طرح شود، عواقب...
    بارگذاری...