SIMPLEFIX-haittaohjelma

Venäläinen jatkuva uhka (APT) -ryhmä COLDRIVER on yhdistetty uuteen ClickFix-tyyppisten hyökkäysten aaltoon, joka on tuonut mukanaan kaksi kevyttä haittaohjelmaperhettä: BAITSWITCHin ja SIMPLEFIXin. Tietoturvatutkijat tunnistivat tämän monivaiheisen kampanjan syyskuussa 2025. BAITSWITCH toimii lataajana, joka lopulta toimittaa SIMPLEFIXin, PowerShell-pohjaisen takaportin.

COLDRIVER, joka tunnetaan myös aliasnimillä kuten Callisto, Star Blizzard ja UNC4057, on toiminut aktiivisesti vuodesta 2019 lähtien ja kohdistanut hyökkäyksensä laajaan joukkoon organisaatioita. Varhaiset kampanjat perustuivat tietojenkalasteluun uhrien ohjaamiseksi tunnistetietojen keruusivuille. Ajan myötä ryhmä on kehittänyt räätälöityjä työkaluja, kuten SPICA ja LOSTKEYS, mikä korostaa sen kasvavaa teknistä hienostuneisuutta.

ClickFix: Todistettu, pysyvä hyökkäysvektori

Tämä APT-ryhmä on aiemmin käyttänyt ClickFix-taktiikoita, joista ensimmäinen dokumentoitiin toukokuussa 2025. Näissä kampanjoissa väärennetyt verkkosivustot tarjosivat vilpillisiä CAPTCHA-kehotteita, jotka huijasivat uhreja suorittamaan PowerShell-komentoja, jotka toimittivat LOSTKEYS Visual Basic -komentosarjan.

Vaikka ClickFix ei ole uusi eikä kovin edistynyt, sen toistuva käyttö osoittaa sen tehokkuuden tartuntavektorina. Uusimmat hyökkäykset noudattavat samaa yleistä menetelmää: uhrit huijataan suorittamaan haitallinen DLL-tiedosto Windowsin Suorita-valintaikkunan kautta, näennäisesti CAPTCHA-tarkistuksen suorittamiseksi.

Hyökkäysketjun anatomia

Hyökkäys etenee seuraavasti:

BAITSWITCH DLL suoritetaan ja yhdistetään hyökkääjän hallitsemaan verkkotunnukseen (captchanom.top) noutaakseen SIMPLEFIX-takaoven. Google Drivessa oleva houkutustiedosto näytetään uhrin häiritsemiseksi.

Useita HTTP-pyyntöjä lähetetään samalle palvelimelle järjestelmätietojen lähettämiseksi, komentojen vastaanottamiseksi pysyvyyden varmistamiseksi, salattujen hyötykuormien tallentamiseksi Windowsin rekisteriin, PowerShell-testaustyökalun lataamiseksi ja viimeisimmän Suorita-valintaikkunan historian poistamiseksi jälkien peittämiseksi.

PowerShell-testausohjelma lataa SIMPLEFIXin osoitteesta southprovesolutions.com. SIMPLEFIX muodostaa yhteyden Command-and-Control (C2) -palvelimeen, mikä mahdollistaa PowerShell-komentosarjojen, -komentojen ja -binaarien suorittamisen etänä.

SIMPLEFIXin kautta suoritettava PowerShell-skripti kohdistaa toimensa ennalta määritettyihin hakemistoihin ja tiedostotyyppeihin, jotta sitä voidaan purkaa, peilaten päällekkäisyyksiä aiempien LOSTKEYS-kampanjoiden kanssa.

Kohdeprofiili ja strateginen painopiste

COLDRIVERin toiminta keskittyy ensisijaisesti kansalaisyhteiskunnan toimijoihin, mukaan lukien:

• Länsimaiden kansalaisjärjestöjen ja ajatushautomoiden jäsenet
• Ihmisoikeuksien puolustajat

• Venäjältä karkotetut tai Venäjällä asuvat henkilöt

Nykyinen kampanja on läheisessä linjassa tämän vakiintuneen uhritutkimuksen kanssa ja vahvistaa ryhmän jatkuvaa kiinnostusta Venäjän kansalaisyhteiskuntaa ja siihen liittyviä verkostoja kohtaan.