Kortingsaanbieding voor meerdere licenties
Bedreigingsdatabase Geavanceerde aanhoudende dreiging (APT) SIMPLEFIX-malware

SIMPLEFIX-malware

Tegen Mezo in Geavanceerde aanhoudende dreiging (APT), Malware
Vertalen naar:

De Russische Advanced Persistent Threat (APT)-groep COLDRIVER is in verband gebracht met een nieuwe golf van ClickFix-achtige aanvallen, met de introductie van twee lichtgewicht malwarefamilies: BAITSWITCH en SIMPLEFIX. Beveiligingsonderzoekers identificeerden deze meerfasencampagne in september 2025. BAITSWITCH fungeert als een downloader die uiteindelijk SIMPLEFIX, een PowerShell-gebaseerde backdoor, installeert.

COLDRIVER, ook bekend onder aliassen zoals Callisto, Star Blizzard en UNC4057, is sinds 2019 actief en richt zich op een breed scala aan organisaties. Vroege campagnes maakten gebruik van spearphishing om slachtoffers door te verwijzen naar pagina's waar inloggegevens werden verzameld. In de loop der tijd heeft de groep aangepaste tools ontwikkeld zoals SPICA en LOSTKEYS, wat de groeiende technische verfijning onderstreept.

ClickFix: een bewezen, aanhoudende aanvalsvector

Deze APT-groep heeft eerder ClickFix-tactieken ingezet, waarvan de eerste documentatie dateert uit mei 2025. In die campagnes boden nepwebsites frauduleuze CAPTCHA-prompts aan, waarmee slachtoffers werden verleid tot het uitvoeren van PowerShell-opdrachten die het Visual Basic-script LOSTKEYS leverden.

Hoewel ClickFix noch nieuw noch zeer geavanceerd is, bewijst het herhaaldelijke gebruik ervan de effectiviteit ervan als infectievector. De nieuwste aanvallen hanteren dezelfde algemene methodologie: slachtoffers worden misleid om een schadelijke DLL uit te voeren via het Windows-venster Uitvoeren, zogenaamd om een CAPTCHA-controle te voltooien.

Anatomie van de aanvalsketen

De aanval verloopt als volgt:

De BAITSWITCH DLL wordt uitgevoerd en maakt verbinding met een door de aanvaller beheerd domein (captchanom.top) om de SIMPLEFIX-backdoor op te halen. Een afleidingsdocument op Google Drive wordt weergegeven om het slachtoffer af te leiden.

Er worden meerdere HTTP-verzoeken naar dezelfde server verzonden om systeemgegevens te verzenden, persistentieopdrachten te ontvangen, gecodeerde payloads in het Windows-register op te slaan, een PowerShell-stager te downloaden en de recente geschiedenis van het uitvoeringsdialoogvenster te wissen om sporen te wissen.

De PowerShell-stager downloadt SIMPLEFIX van southprovesolutions.com. SIMPLEFIX brengt een verbinding tot stand met een Command-and-Control (C2)-server, waardoor externe PowerShell-scripts, opdrachten en binaire bestanden kunnen worden uitgevoerd.

Een PowerShell-script dat wordt uitgevoerd via SIMPLEFIX richt zich op een vooraf gedefinieerde set mappen en bestandstypen voor exfiltratie. De mirroring overlapt met eerdere LOSTKEYS-campagnes.

Doelprofiel en strategische focus

De activiteiten van COLDRIVER richten zich voornamelijk op actoren uit het maatschappelijk middenveld, waaronder:

  • Leden van NGO's en denktanks in westerse regio's
  • Mensenrechtenverdedigers
  • Personen die uit Rusland zijn verbannen of daar verblijven

    • De huidige campagne sluit nauw aan bij deze gevestigde victimologie en versterkt de aanhoudende interesse van de groep in de Russische burgermaatschappij en daaraan gerelateerde netwerken.

    Trending

    Meest bekeken

    Bezig met laden...