SIMPLEFIX kártevő
Az orosz COLDRIVER nevű fejlett perzisztens fenyegetést (APT) elkövető csoportot összefüggésbe hozták a ClickFix-stílusú támadások új hullámával, két könnyűsúlyú kártevőcsaládot vezetve be: a BAITSWITCH-et és a SIMPLEFIX-et. Biztonsági kutatók 2025 szeptemberében azonosították ezt a többlépcsős kampányt. A BAITSWITCH letöltőként működik, amely végül a SIMPLEFIX-et, egy PowerShell-alapú hátsó ajtót juttatja el a felhasználókhoz.
A COLDRIVER, más néven Callisto, Star Blizzard és UNC4057, 2019 óta aktív, és szervezetek széles körét célozza meg. A korai kampányok a célzott adathalászatra támaszkodtak, hogy az áldozatokat hitelesítő adatokat gyűjtögető oldalakra irányítsák át. Idővel a csoport olyan egyedi eszközöket fejlesztett ki, mint a SPICA és a LOSTKEYS, amelyek kiemelik növekvő technikai kifinomultságát.
Tartalomjegyzék
ClickFix: Egy bevált, kitartó támadási vektor
Ez az APT csoport korábban már alkalmazott ClickFix taktikákat, amelyeket először 2025 májusában dokumentáltak. Ezekben a kampányokban hamis weboldalak csaló CAPTCHA promptokat kínáltak, rávéve az áldozatokat, hogy olyan PowerShell parancsokat hajtsanak végre, amelyek a LOSTKEYS Visual Basic szkriptet szolgáltatták.
Bár a ClickFix sem nem újdonság, sem nem túl fejlett, ismételt használata bizonyítja hatékonyságát fertőzési vektorként. A legújabb támadások ugyanazt az általános módszertant követik: az áldozatokat megtévesztik, hogy egy rosszindulatú DLL-t futtassanak a Windows Futtatás párbeszédpanelén keresztül, látszólag egy CAPTCHA-ellenőrzés elvégzéséhez.
A támadási lánc anatómiája
A támadás a következőképpen zajlik:
A BAITSWITCH DLL végrehajtásra kerül, és csatlakozik egy támadó által ellenőrzött domainhez (captchanom.top), hogy lekérje a SIMPLEFIX hátsó ajtót. Egy, a Google Drive-on tárolt csapdadokumentum jelenik meg az áldozat figyelmének elterelése érdekében.
Több HTTP-kérés is érkezik ugyanarra a szerverre a rendszerinformációk továbbítása, a megőrzési parancsok fogadása, a titkosított hasznos adatok Windows rendszerleíró adatbázisban való tárolása, egy PowerShell-beállító program letöltése és a Futtatás párbeszédpanel előzményeinek törlése a nyomkövetések elfedése érdekében.
A PowerShell stager letölti a SIMPLEFIX-et a southprovesolutions.com webhelyről. A SIMPLEFIX kapcsolatot létesít egy Command-and-Control (C2) szerverrel, lehetővé téve a távoli PowerShell szkriptek, parancsok és bináris fájlok végrehajtását.
Egy SIMPLEFIX-en keresztül futtatott PowerShell szkript előre definiált könyvtárakat és fájltípusokat céloz meg a kiszűrés céljából, tükrözve az átfedéseket a korábbi LOSTKEYS kampányokkal.
Célprofil és stratégiai fókusz
A COLDRIVER tevékenysége elsősorban a civil társadalmi szereplőkre összpontosít, beleértve a következőket:
- Nem kormányzati szervezetek és agytrösztök tagjai a nyugati régiókban
- Emberi jogi védelmezők
- Oroszországból száműzött vagy Oroszországban élő személyek
A jelenlegi kampány szorosan illeszkedik ehhez a kialakult áldozatelmélethez, megerősítve a csoport folyamatos érdeklődését az orosz civil társadalom és a kapcsolódó hálózatok iránt.
