Ponuda s popustom na više licenci
Baza prijetnji Napredna trajna prijetnja (APT) SIMPLEFIX Zlonamjerni softver

SIMPLEFIX Zlonamjerni softver

Do Mezo. Napredna trajna prijetnja (APT), Malware. godine
Prevedi na:

Ruska napredna grupa za perzistentne prijetnje (APT) COLDRIVER povezana je s novim valom napada u stilu ClickFixa, uvodeći dvije obitelji laganih zlonamjernih programa: BAITSWITCH i SIMPLEFIX. Sigurnosni istraživači identificirali su ovu višefaznu kampanju u rujnu 2025. BAITSWITCH djeluje kao program za preuzimanje koji u konačnici isporučuje SIMPLEFIX, backdoor temeljen na PowerShellu.

COLDRIVER, poznat i pod pseudonimima kao što su Callisto, Star Blizzard i UNC4057, aktivan je od 2019. godine, ciljajući širok spektar organizacija. Rane kampanje oslanjale su se na spear-phishing kako bi preusmjerile žrtve na stranice za prikupljanje vjerodajnica. Tijekom vremena, grupa je razvila prilagođene alate poput SPICA i LOSTKEYS, ističući njezinu rastuću tehničku sofisticiranost.

ClickFix: Dokazan, uporan vektor napada

Ova APT grupa je prethodno koristila ClickFix taktike, prvi put dokumentirane u svibnju 2025. U tim kampanjama, lažne web stranice nudile su lažne CAPTCHA upite, varajući žrtve da izvrše PowerShell naredbe koje su isporučivale LOSTKEYS Visual Basic skriptu.

Iako ClickFix nije ni nov ni vrlo napredan, njegova ponovljena upotreba pokazuje njegovu učinkovitost kao vektora zaraze. Najnoviji napadi zadržavaju istu opću metodologiju: žrtve se prevarom navode da pokrenu zlonamjerni DLL putem dijaloga Pokreni u sustavu Windows, navodno kako bi dovršili CAPTCHA provjeru.

Anatomija napadačkog lanca

Napad se odvija na sljedeći način:

BAITSWITCH DLL se izvršava i povezuje s domenom koju kontrolira napadač (captchanom.top) kako bi dohvatio SIMPLEFIX backdoor. Prikazuje se dokument mamac smješten na Google disku kako bi se odvratila pažnja žrtve.

Nekoliko HTTP zahtjeva šalje se istom poslužitelju za prijenos sistemskih informacija, primanje naredbi za perzistenciju, pohranjivanje šifriranih korisnih podataka u Windows registru, preuzimanje PowerShell stagera i brisanje nedavne povijesti dijaloga Run kako bi se prikrili tragovi.

PowerShell stager preuzima SIMPLEFIX sa southprovesolutions.com. SIMPLEFIX uspostavlja vezu s Command-and-Control (C2) poslužiteljem, omogućujući izvršavanje udaljenih PowerShell skripti, naredbi i binarnih datoteka.

PowerShell skripta izvršena putem SIMPLEFIX-a cilja unaprijed definirani skup direktorija i tipova datoteka za eksfiltraciju, zrcali preklapanja s prethodnim LOSTKEYS kampanjama.

Ciljni profil i strateški fokus

COLDRIVER-ovo djelovanje prvenstveno je usmjereno na aktere civilnog društva, uključujući:

  • Članovi nevladinih organizacija i think tankova u zapadnim regijama
  • Branitelji ljudskih prava
  • Osobe prognane iz Rusije ili koje žive u Rusiji

Trenutna kampanja usko je usklađena s ovom ustaljenom viktimologijom, jačajući stalni interes skupine za rusko civilno društvo i srodne mreže.

U trendu

Poruke koje čekaju vašu pažnju - prijevara putem...

Krađa identiteta, Spam
E-pošta ostaje jedan od najčešćih vektora napada za kibernetičke kriminalce, a prijevare prikrivene kao obavijesti o računu posebno su opasne. Jedna takva lažna kampanja je prijevara e-poštom 'Poruke koje čekaju vašu pažnju', koja vara primatelje da posjete phishing stranice osmišljene za krađu osjetljivih podataka. Razumijevanje načina na koji ova shema funkcionira ključno je za izbjegavanje...

Nagledanije

Učitavam...