SIMPLEFIX ļaunprogrammatūra
Krievijas uzlautā pastāvīgo draudu (APT) grupa COLDRIVER ir saistīta ar jaunu ClickFix stila uzbrukumu vilni, ieviešot divas vieglas ļaunprogrammatūru saimes: BAITSWITCH un SIMPLEFIX. Drošības pētnieki identificēja šo daudzpakāpju kampaņu 2025. gada septembrī. BAITSWITCH darbojas kā lejupielādētājs, kas galu galā piegādā SIMPLEFIX — uz PowerShell balstītu aizmugurējo durvju rīku.
COLDRIVER, kas pazīstams arī ar tādiem pseidonīmiem kā Callisto, Star Blizzard un UNC4057, darbojas kopš 2019. gada, mērķējot uz plašu organizāciju loku. Agrīnās kampaņas balstījās uz mērķpikšķerēšanu, lai novirzītu upurus uz akreditācijas datu ieguves lapām. Laika gaitā grupa ir izstrādājusi pielāgotus rīkus, piemēram, SPICA un LOSTKEYS, uzsverot tās pieaugošo tehnisko sarežģītību.
Satura rādītājs
ClickFix: pārbaudīts, noturīgs uzbrukuma vektors
Šī APT grupa iepriekš bija izmantojusi ClickFix taktiku, kas pirmo reizi dokumentēta 2025. gada maijā. Šajās kampaņās viltotas tīmekļa vietnes piedāvāja krāpnieciskas CAPTCHA uzvednes, maldinot upurus izpildīt PowerShell komandas, kas piegādāja LOSTKEYS Visual Basic skriptu.
Lai gan ClickFix nav ne jauns, ne īpaši attīstīts rīks, tā atkārtota lietošana pierāda tā efektivitāti kā infekcijas vektors. Jaunākie uzbrukumi saglabā to pašu vispārējo metodoloģiju: upuri tiek maldināti palaist ļaunprātīgu DLL, izmantojot Windows palaišanas dialoglodziņu, it kā lai pabeigtu CAPTCHA pārbaudi.
Uzbrukuma ķēdes anatomija
Uzbrukums notiek šādi:
Tiek izpildīta BAITSWITCH DLL fails un tiek izveidots savienojums ar uzbrucēja kontrolētu domēnu (captchanom.top), lai ielādētu SIMPLEFIX aizmugurējās durvis. Lai novērstu upura uzmanību, tiek parādīts Google diskā mitināts mānekļa dokuments.
Uz vienu un to pašu serveri tiek nosūtīti vairāki HTTP pieprasījumi, lai pārsūtītu sistēmas informāciju, saņemtu komandas saglabāšanai, saglabātu šifrētus datus Windows reģistrā, lejupielādētu PowerShell testa rīku un dzēstu neseno palaišanas dialoglodziņa vēsturi, lai slēptu pēdas.
PowerShell testa rīks lejādē SIMPLEFIX no southprovesolutions.com. SIMPLEFIX izveido savienojumu ar Command-and-Control (C2) serveri, iespējojot attālinātu PowerShell skriptu, komandu un bināros failus izpildi.
Ar SIMPLEFIX izpildīts PowerShell skripts ir vērsts uz iepriekš definētu direktoriju un failu tipu kopu eksfiltrācijai, atspoguļojot pārklāšanos ar iepriekšējām LOSTKEYS kampaņām.
Mērķa profils un stratēģiskais fokuss
COLDRIVER darbība galvenokārt ir vērsta uz pilsoniskās sabiedrības dalībniekiem, tostarp:
- NVO un domnīcu biedri Rietumu reģionos
- Cilvēktiesību aizstāvji
- Personas, kas izsūtītas no Krievijas vai dzīvo Krievijā
Pašreizējā kampaņa cieši saskan ar šo iedibināto viktimoloģiju, pastiprinot grupas pastāvīgo interesi par Krievijas pilsonisko sabiedrību un saistītajiem tīkliem.
