SIMPLEFIX Perisian Hasad

Menjelang Mezo pada Ancaman Berterusan Lanjutan (APT), perisian hasad

Terjemahkan ke

Kumpulan ancaman berterusan (APT) lanjutan Rusia COLDRIVER telah dikaitkan dengan gelombang baharu serangan gaya ClickFix, memperkenalkan dua keluarga perisian hasad ringan: BAITSWITCH dan SIMPLEFIX. Penyelidik keselamatan mengenal pasti kempen berbilang peringkat ini pada September 2025. BAITSWITCH bertindak sebagai pemuat turun yang akhirnya menyampaikan SIMPLEFIX, pintu belakang berasaskan PowerShell.

COLDRIVER, juga dikenali dengan alias seperti Callisto, Star Blizzard dan UNC4057, telah aktif sejak 2019, menyasarkan spektrum organisasi yang luas. Kempen awal bergantung pada spear-phishing untuk mengubah hala mangsa ke halaman penuaian kelayakan. Dari masa ke masa, kumpulan itu telah membangunkan alatan tersuai seperti SPICA dan LOSTKEYS, menyerlahkan kecanggihan teknikalnya yang semakin meningkat.

Isi kandungan

ClickFix: Vektor Serangan Berterusan yang Terbukti

Kumpulan APT ini sebelum ini telah menggunakan taktik ClickFix, pertama kali didokumenkan pada Mei 2025. Dalam kempen tersebut, tapak web palsu menawarkan gesaan CAPTCHA yang menipu, memperdaya mangsa untuk melaksanakan perintah PowerShell yang menyampaikan Skrip Asas Visual LOSTKEYS.

Walaupun ClickFix bukanlah novel atau sangat maju, penggunaan berulangnya menunjukkan keberkesanannya sebagai vektor jangkitan. Serangan terkini mengekalkan metodologi umum yang sama: mangsa ditipu untuk menjalankan DLL berniat jahat melalui dialog Windows Run, kononnya untuk menyelesaikan semakan CAPTCHA.

Anatomi Rantaian Serangan

Serangan diteruskan seperti berikut:

BAITSWITCH DLL dilaksanakan dan bersambung ke domain dikawal penyerang (captchanom.top) untuk mengambil pintu belakang SIMPLEFIX. Dokumen tipu daya yang dihoskan di Google Drive dipaparkan untuk mengalih perhatian mangsa.

Beberapa permintaan HTTP dihantar ke pelayan yang sama untuk menghantar maklumat sistem, menerima arahan untuk kegigihan, menyimpan muatan yang disulitkan dalam Windows Registry, memuat turun pentas PowerShell dan memadamkan sejarah dialog Run baru-baru ini untuk menutup jejak.

Pentas PowerShell memuat turun SIMPLEFIX daripada southprovesolutions.com. SIMPLEFIX mewujudkan sambungan dengan pelayan Command-and-Control (C2), membolehkan pelaksanaan skrip, arahan dan perduaan PowerShell jauh.

Skrip PowerShell yang dilaksanakan melalui SIMPLEFIX menyasarkan set direktori dan jenis fail yang dipratentukan untuk exfiltration, mencerminkan pertindihan dengan kempen LOSTKEYS sebelumnya.

Profil Sasaran dan Fokus Strategik

Operasi COLDRIVER tertumpu terutamanya kepada aktor masyarakat sivil, termasuk:

Ahli NGO dan badan pemikir di wilayah Barat
Pembela hak asasi manusia

Individu yang diasingkan dari atau tinggal di Rusia

Kempen semasa sejajar rapat dengan penganiayaan yang telah ditetapkan ini, mengukuhkan minat berterusan kumpulan itu dalam masyarakat sivil Rusia dan rangkaian berkaitan.

Pemproses Pembayaran EnigmaSoft Pemfailan Digital River GmbH untuk Kebankrapan Tidak Menjejas Perlindungan Anti-Hasad Pelanggan SpyHunter

Cari

Tukar Wilayah

SIMPLEFIX Perisian Hasad

ClickFix: Vektor Serangan Berterusan yang Terbukti

Anatomi Rantaian Serangan

Profil Sasaran dan Fokus Strategik

hantar komen

Trending

BlockBlasters Cryptodrainer

Mesej Menunggu Perhatian Anda E-mel Penipuan

Privacy-onbrowser.com

Paling banyak dilihat

Perisian hasad

Penipuan E-mel 'Geek Squad'

XHAMSTER Ransomware