SIMPLEFIX kenkėjiška programa
Rusijos pažangių nuolatinių grėsmių (APT) grupuotė „COLDRIVER“ buvo susieta su nauja „ClickFix“ stiliaus atakų banga, pristatančia dvi lengvas kenkėjiškų programų šeimas: „BAITSWITCH“ ir „SIMPLEFIX“. Saugumo tyrėjai šią daugiapakopę kampaniją nustatė 2025 m. rugsėjį. „BAITSWITCH“ veikia kaip atsisiuntimo programa, kuri galiausiai pateikia „SIMPLEFIX“ – „PowerShell“ pagrindu veikiančią galinę durelę.
„COLDRIVER“, dar žinoma tokiais slapyvardžiais kaip „Callisto“, „Star Blizzard“ ir „UNC4057“, veikia nuo 2019 m., taikydamasi į platų organizacijų spektrą. Ankstyvosios kampanijos rėmėsi tiksliniu sukčiavimu, siekiant nukreipti aukas į puslapius, kuriuose renkami prisijungimo duomenys. Laikui bėgant, grupė sukūrė specialius įrankius, tokius kaip „SPICA“ ir „LOSTKEYS“, kurie pabrėžia augantį jos techninį sudėtingumą.
Turinys
„ClickFix“: patikrintas, nuolatinis atakų vektorius
Ši APT grupuotė anksčiau naudojo „ClickFix“ taktiką, pirmą kartą aprašytą 2025 m. gegužės mėn. Šiose kampanijose netikros svetainės siūlė apgaulingus CAPTCHA raginimus, apgaule versdamos aukas vykdyti „PowerShell“ komandas, kurios pateikė „LOSTKEYS Visual Basic“ scenarijų.
Nors „ClickFix“ nėra nei nauja, nei labai pažangi, jos pakartotinis naudojimas įrodo jos, kaip užkrato platintojo, veiksmingumą. Naujausios atakos išlaiko tą pačią bendrą metodiką: aukos apgaule priverčiamos paleisti kenkėjišką DLL failą per „Windows“ vykdymo langą, tariamai tam, kad atliktų CAPTCHA patikrą.
Puolimo grandinės anatomija
Ataka vyksta taip:
Vykdomas BAITSWITCH DLL failas ir prisijungiama prie užpuoliko kontroliuojamo domeno (captchanom.top), kad būtų gauta SIMPLEFIX galinė durų funkcija. Siekiant atitraukti aukos dėmesį, rodomas „Google“ diske esantis masalo dokumentas.
Į tą patį serverį siunčiamos kelios HTTP užklausos, skirtos perduoti sistemos informaciją, gauti komandas duomenų išsaugojimui, saugoti užšifruotus naudingus duomenis „Windows“ registre, atsisiųsti „PowerShell“ peržiūros programą ir ištrinti naujausią vykdymo dialogo istoriją, kad būtų paslėpti pėdsakai.
„PowerShell“ testavimo įrankis atsisiunčia „SIMPLEFIX“ iš southprovesolutions.com. „SIMPLEFIX“ užmezga ryšį su „Command-and-Control“ (C2) serveriu, įgalindamas nuotolinių „PowerShell“ scenarijų, komandų ir dvejetainių failų vykdymą.
„PowerShell“ scenarijus, vykdomas naudojant „SIMPLEFIX“, yra skirtas išfiltruoti iš anksto nustatytą katalogų ir failų tipų rinkinį, taip sukuriant dubliavimąsi su ankstesnėmis „LOSTKEYS“ kampanijomis.
Tikslinis profilis ir strateginis dėmesys
„COLDRIVER“ veikla daugiausia skirta pilietinės visuomenės veikėjams, įskaitant:
- Vakarų regionų NVO ir ekspertų grupių nariai
- Žmogaus teisių gynėjai
- Iš Rusijos ištremti arba joje gyvenantys asmenys
Dabartinė kampanija glaudžiai susijusi su šia nusistovėjusia viktimologija, sustiprindama grupės nuolatinį susidomėjimą Rusijos pilietine visuomene ir susijusiais tinklais.
