Rabatttilbud for flere lisenser
Trusseldatabase Advanced Persistent Threat (APT) SIMPLEFIX-skadevare

SIMPLEFIX-skadevare

Med Mezo i Advanced Persistent Threat (APT), Skadelig programvare
Oversett til:

Den russiske gruppen for avanserte, vedvarende trusler (APT) COLDRIVER har blitt koblet til en ny bølge av ClickFix-lignende angrep, og introduserer to lette skadevarefamilier: BAITSWITCH og SIMPLEFIX. Sikkerhetsforskere identifiserte denne flertrinnskampanjen i september 2025. BAITSWITCH fungerer som en nedlaster som til slutt leverer SIMPLEFIX, en PowerShell-basert bakdør.

COLDRIVER, også kjent under alias som Callisto, Star Blizzard og UNC4057, har vært aktiv siden 2019, og har rettet seg mot et bredt spekter av organisasjoner. Tidlige kampanjer var avhengige av spear-phishing for å omdirigere ofre til sider for innsamling av legitimasjon. Over tid har gruppen utviklet tilpassede verktøy som SPICA og LOSTKEYS, noe som fremhever den økende tekniske sofistikasjonen.

ClickFix: En dokumentert, vedvarende angrepsvektor

Denne APT-gruppen har tidligere tatt i bruk ClickFix-taktikker, først dokumentert i mai 2025. I disse kampanjene tilbød falske nettsteder uredelige CAPTCHA-ledetekster, og lurte ofrene til å kjøre PowerShell-kommandoer som leverte LOSTKEYS Visual Basic-skriptet.

Selv om ClickFix verken er nytt eller svært avansert, viser gjentatt bruk at det er effektivt som en infeksjonsvektor. De siste angrepene opprettholder den samme generelle metodikken: ofrene blir lurt til å kjøre en ondsinnet DLL via Windows Kjør-dialogboks, tilsynelatende for å fullføre en CAPTCHA-sjekk.

Anatomien til angrepskjeden

Angrepet går som følger:

BAITSWITCH DLL-filen kjøres og kobler seg til et angriperkontrollert domene (captchanom.top) for å hente SIMPLEFIX-bakdøren. Et lokkedokument som ligger på Google Drive vises for å distrahere offeret.

Flere HTTP-forespørsler sendes til den samme serveren for å overføre systeminformasjon, motta kommandoer for vedvarende drift, lagre krypterte nyttelaster i Windows-registeret, laste ned en PowerShell-stager og slette nylig historikk for kjøredialoger for å dekke over spor.

PowerShell-stageren laster ned SIMPLEFIX fra southprovesolutions.com. SIMPLEFIX oppretter en forbindelse med en kommando-og-kontroll-server (C2), som muliggjør kjøring av eksterne PowerShell-skript, kommandoer og binærfiler.

Et PowerShell-skript som kjøres via SIMPLEFIX, er rettet mot et forhåndsdefinert sett med kataloger og filtyper for eksfiltrering, og speiler overlappinger med tidligere LOSTKEYS-kampanjer.

Målprofil og strategisk fokus

COLDRIVERs virksomhet fokuserer primært på aktører i sivilsamfunnet, inkludert:

  • Medlemmer av frivillige organisasjoner og tenketanker i vestlige regioner
  • Menneskerettighetsforkjempere
  • Personer i eksil fra eller bosatt i Russland

Den nåværende kampanjen er tett på linje med denne etablerte viktimologien, og forsterker gruppens pågående interesse for det russiske sivilsamfunnet og relaterte nettverk.

Trender

Mest sett

Laster inn...