SIMPLEFIX 악성코드

러시아의 지능형 지속 위협(APT) 그룹인 콜드라이버(COLDRIVER)가 새로운 형태의 클릭픽스(ClickFix) 공격에 연루된 것으로 드러났습니다. 이 공격은 베이츠위치(BAITSWITCH)와 심플픽스(SIMPLEFIX)라는 두 가지 경량 멀웨어 계열을 도입했습니다. 보안 연구원들은 2025년 9월에 이 다단계 캠페인을 확인했습니다. 베이츠위치는 다운로더 역할을 하며, 궁극적으로 파워셸 기반 백도어인 심플픽스를 배포합니다.

Callisto, Star Blizzard, UNC4057 등의 가명으로도 알려진 COLDRIVER는 2019년부터 광범위한 조직을 표적으로 삼아 활동해 왔습니다. 초기 캠페인은 스피어피싱을 통해 피해자를 신원 정보 수집 페이지로 유도하는 방식을 사용했습니다. 시간이 지남에 따라 COLDRIVER는 SPICA와 LOSTKEYS와 같은 맞춤형 도구를 개발하여 기술적 정교함이 더욱 강화되었음을 보여줍니다.

ClickFix: 입증된 지속적인 공격 벡터

이 APT 그룹은 2025년 5월에 처음으로 기록된 ClickFix 전술을 이전에도 사용했습니다. 이러한 캠페인에서 가짜 웹사이트는 사기성 CAPTCHA 프롬프트를 제공하여 피해자를 속여 LOSTKEYS Visual Basic 스크립트를 전달하는 PowerShell 명령을 실행하도록 했습니다.

ClickFix는 새로운 것도 아니고 고도로 발전된 것도 아니지만, 반복적인 사용은 감염 매개체로서의 효과를 입증합니다. 최근 공격들은 동일한 일반적인 수법을 사용합니다. 피해자가 CAPTCHA 확인을 완료하기 위해 Windows 실행 대화 상자를 통해 악성 DLL을 실행하도록 속이는 것입니다.

공격 체인의 해부학

공격은 다음과 같이 진행됩니다.

BAITSWITCH DLL이 실행되어 공격자가 제어하는 도메인(captchanom.top)에 연결하여 SIMPLEFIX 백도어를 가져옵니다. 피해자의 주의를 분산시키기 위해 Google 드라이브에 호스팅된 가짜 문서가 표시됩니다.

시스템 정보를 전송하고, 지속성을 위한 명령을 수신하고, Windows 레지스트리에 암호화된 페이로드를 저장하고, PowerShell 스테이저를 다운로드하고, 최근 실행 대화 기록을 지워 흔적을 감추기 위해 여러 HTTP 요청이 동일한 서버로 전송됩니다.

PowerShell 스테이저는 southprovesolutions.com에서 SIMPLEFIX를 다운로드합니다. SIMPLEFIX는 명령 및 제어(C2) 서버와 연결을 설정하여 원격 PowerShell 스크립트, 명령 및 바이너리를 실행할 수 있도록 합니다.

SIMPLEFIX를 통해 실행되는 PowerShell 스크립트는 사전 정의된 디렉터리 및 파일 유형 집합을 대상으로 유출을 수행하며, 이전 LOSTKEYS 캠페인과 중복되는 부분을 미러링합니다.

타겟 프로필 및 전략적 초점

COLDRIVER의 운영은 주로 다음을 포함한 시민 사회 행위자에 초점을 맞춥니다.

• 서구 지역 NGO 및 싱크탱크 회원

현재 진행 중인 캠페인은 이러한 기존 피해자 인식과 긴밀히 연관되어 있으며, 러시아 시민 사회와 관련 네트워크에 대한 이 단체의 지속적인 관심을 강화합니다.