SIMPLEFIX मालवेयर

रूसी उन्नत पर्सिस्टेन्ट थ्रेट (APT) समूह COLDRIVER लाई ClickFix-शैली आक्रमणहरूको नयाँ लहरसँग जोडिएको छ, जसले दुई हल्का मालवेयर परिवारहरू: BAITSWITCH र SIMPLEFIX लाई परिचय गराएको छ। सुरक्षा अनुसन्धानकर्ताहरूले सेप्टेम्बर २०२५ मा यो बहु-चरण अभियान पहिचान गरे। BAITSWITCH ले एक डाउनलोडरको रूपमा काम गर्दछ जसले अन्ततः SIMPLEFIX, एक PowerShell-आधारित ब्याकडोर डेलिभर गर्दछ।

COLDIVER, जसलाई Callisto, Star Blizzard, र UNC4057 जस्ता उपनामहरूले पनि चिनिन्छ, २०१९ देखि सक्रिय छ, जसले विभिन्न संस्थाहरूलाई लक्षित गर्दछ। प्रारम्भिक अभियानहरू पीडितहरूलाई क्रेडेन्सियल-फसल पृष्ठहरूमा रिडिरेक्ट गर्न भाला-फिसिङमा निर्भर थिए। समयसँगै, समूहले SPICA र LOSTKEYS जस्ता अनुकूलन उपकरणहरू विकास गरेको छ, जसले यसको बढ्दो प्राविधिक परिष्कारलाई हाइलाइट गर्दछ।

क्लिकफिक्स: एक प्रमाणित, निरन्तर आक्रमण भेक्टर

यो APT समूहले पहिले नै ClickFix रणनीतिहरू प्रयोग गरिसकेको छ, जुन पहिलो पटक मे २०२५ मा दस्तावेज गरिएको थियो। ती अभियानहरूमा, नक्कली वेबसाइटहरूले धोखाधडी CAPTCHA प्रम्प्टहरू प्रस्ताव गर्थे, जसले पीडितहरूलाई LOSTKEYS Visual Basic Script डेलिभर गर्ने PowerShell आदेशहरू कार्यान्वयन गर्न ठग्थ्यो।

क्लिकफिक्स न त नयाँ छ न त अत्यधिक उन्नत, यसको बारम्बार प्रयोगले संक्रमण भेक्टरको रूपमा यसको प्रभावकारिता देखाउँछ। पछिल्ला आक्रमणहरूले उही सामान्य पद्धति कायम राख्छन्: पीडितहरूलाई क्याप्चा जाँच पूरा गर्न विन्डोज रन संवाद मार्फत दुर्भावनापूर्ण DLL चलाउन धोका दिइन्छ।

आक्रमण श्रृंखलाको शरीर रचना

आक्रमण निम्नानुसार अगाडि बढ्छ:

BAITSWITCH DLL कार्यान्वयन गरिन्छ र SIMPLEFIX ब्याकडोर ल्याउन आक्रमणकारी-नियन्त्रित डोमेन (captchanom.top) मा जडान हुन्छ। पीडितलाई ध्यान भंग गर्न गुगल ड्राइभमा होस्ट गरिएको एक डिकोय कागजात प्रदर्शित हुन्छ।

प्रणाली जानकारी प्रसारण गर्न, दृढताको लागि आदेशहरू प्राप्त गर्न, Windows रजिस्ट्रीमा इन्क्रिप्टेड पेलोडहरू भण्डारण गर्न, PowerShell स्टेजर डाउनलोड गर्न, र ट्रेसहरू कभर गर्न हालसालैको रन संवाद इतिहास मेटाउन धेरै HTTP अनुरोधहरू एउटै सर्भरमा पठाइन्छ।

PowerShell स्टेजरले southprovesolutions.com बाट SIMPLEFIX डाउनलोड गर्दछ। SIMPLEFIX ले कमाण्ड-एन्ड-कन्ट्रोल (C2) सर्भरसँग जडान स्थापना गर्दछ, जसले गर्दा रिमोट PowerShell स्क्रिप्टहरू, आदेशहरू, र बाइनरीहरूको कार्यान्वयन सक्षम हुन्छ।

SIMPLEFIX मार्फत कार्यान्वयन गरिएको PowerShell स्क्रिप्टले एक्सफिल्ट्रेसनको लागि पूर्वनिर्धारित निर्देशिकाहरू र फाइल प्रकारहरूको सेटलाई लक्षित गर्दछ, अघिल्लो LOSTKEYS अभियानहरूसँग ओभरल्यापहरू मिरर गर्दै।

लक्ष्य प्रोफाइल र रणनीतिक फोकस

COLDRIVER को सञ्चालन मुख्यतया नागरिक समाजका अभियन्ताहरूमा केन्द्रित छ, जसमा समावेश छन्:

• पश्चिमी क्षेत्रहरूमा गैरसरकारी संस्था र विचार समूहका सदस्यहरू

हालको अभियान यस स्थापित पीडित विज्ञानसँग नजिकबाट मिल्दोजुल्दो छ, जसले रूसी नागरिक समाज र सम्बन्धित सञ्जालहरूमा समूहको निरन्तर चासोलाई बलियो बनाउँछ।