SIMPLEFIX ਮਾਲਵੇਅਰ

ਰੂਸੀ ਐਡਵਾਂਸਡ ਪਰਸਿਸਟੈਂਟ ਥਰੇਟ (APT) ਗਰੁੱਪ COLDRIVER ਨੂੰ ClickFix-ਸ਼ੈਲੀ ਦੇ ਹਮਲਿਆਂ ਦੀ ਇੱਕ ਨਵੀਂ ਲਹਿਰ ਨਾਲ ਜੋੜਿਆ ਗਿਆ ਹੈ, ਜਿਸ ਨਾਲ ਦੋ ਹਲਕੇ ਮਾਲਵੇਅਰ ਪਰਿਵਾਰ ਪੇਸ਼ ਕੀਤੇ ਗਏ ਹਨ: BAITSWITCH ਅਤੇ SIMPLEFIX। ਸੁਰੱਖਿਆ ਖੋਜਕਰਤਾਵਾਂ ਨੇ ਸਤੰਬਰ 2025 ਵਿੱਚ ਇਸ ਬਹੁ-ਪੜਾਅ ਮੁਹਿੰਮ ਦੀ ਪਛਾਣ ਕੀਤੀ। BAITSWITCH ਇੱਕ ਡਾਊਨਲੋਡਰ ਵਜੋਂ ਕੰਮ ਕਰਦਾ ਹੈ ਜੋ ਅੰਤ ਵਿੱਚ SIMPLEFIX, ਇੱਕ PowerShell-ਅਧਾਰਿਤ ਬੈਕਡੋਰ ਪ੍ਰਦਾਨ ਕਰਦਾ ਹੈ।

COLDIVER, ਜਿਸਨੂੰ ਕੈਲਿਸਟੋ, ਸਟਾਰ ਬਲਿਜ਼ਾਰਡ, ਅਤੇ UNC4057 ਵਰਗੇ ਉਪਨਾਮਾਂ ਨਾਲ ਵੀ ਜਾਣਿਆ ਜਾਂਦਾ ਹੈ, 2019 ਤੋਂ ਸਰਗਰਮ ਹੈ, ਸੰਗਠਨਾਂ ਦੇ ਇੱਕ ਵਿਸ਼ਾਲ ਸਪੈਕਟ੍ਰਮ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਂਦਾ ਹੈ। ਸ਼ੁਰੂਆਤੀ ਮੁਹਿੰਮਾਂ ਪੀੜਤਾਂ ਨੂੰ ਪ੍ਰਮਾਣ ਪੱਤਰ-ਕਟਾਈ ਵਾਲੇ ਪੰਨਿਆਂ 'ਤੇ ਰੀਡਾਇਰੈਕਟ ਕਰਨ ਲਈ ਸਪੀਅਰ-ਫਿਸ਼ਿੰਗ 'ਤੇ ਨਿਰਭਰ ਕਰਦੀਆਂ ਸਨ। ਸਮੇਂ ਦੇ ਨਾਲ, ਸਮੂਹ ਨੇ SPICA ਅਤੇ LOSTKEYS ਵਰਗੇ ਕਸਟਮ ਟੂਲ ਵਿਕਸਤ ਕੀਤੇ ਹਨ, ਜੋ ਇਸਦੀ ਵਧਦੀ ਤਕਨੀਕੀ ਸੂਝ-ਬੂਝ ਨੂੰ ਉਜਾਗਰ ਕਰਦੇ ਹਨ।

ਕਲਿਕਫਿਕਸ: ਇੱਕ ਸਾਬਤ, ਨਿਰੰਤਰ ਹਮਲਾ ਵੈਕਟਰ

ਇਸ APT ਸਮੂਹ ਨੇ ਪਹਿਲਾਂ ClickFix ਰਣਨੀਤੀਆਂ ਨੂੰ ਤੈਨਾਤ ਕੀਤਾ ਹੈ, ਜਿਨ੍ਹਾਂ ਦਾ ਪਹਿਲੀ ਵਾਰ ਮਈ 2025 ਵਿੱਚ ਦਸਤਾਵੇਜ਼ੀਕਰਨ ਕੀਤਾ ਗਿਆ ਸੀ। ਉਨ੍ਹਾਂ ਮੁਹਿੰਮਾਂ ਵਿੱਚ, ਜਾਅਲੀ ਵੈੱਬਸਾਈਟਾਂ ਨੇ ਧੋਖਾਧੜੀ ਵਾਲੇ CAPTCHA ਪ੍ਰੋਂਪਟ ਪੇਸ਼ ਕੀਤੇ, ਪੀੜਤਾਂ ਨੂੰ PowerShell ਕਮਾਂਡਾਂ ਨੂੰ ਲਾਗੂ ਕਰਨ ਲਈ ਧੋਖਾ ਦਿੱਤਾ ਜੋ LOSTKEYS ਵਿਜ਼ੂਅਲ ਬੇਸਿਕ ਸਕ੍ਰਿਪਟ ਪ੍ਰਦਾਨ ਕਰਦੇ ਸਨ।

ਜਦੋਂ ਕਿ ClickFix ਨਾ ਤਾਂ ਨਵਾਂ ਹੈ ਅਤੇ ਨਾ ਹੀ ਬਹੁਤ ਉੱਨਤ, ਇਸਦੀ ਵਾਰ-ਵਾਰ ਵਰਤੋਂ ਇੱਕ ਇਨਫੈਕਸ਼ਨ ਵੈਕਟਰ ਦੇ ਤੌਰ 'ਤੇ ਇਸਦੀ ਪ੍ਰਭਾਵਸ਼ੀਲਤਾ ਨੂੰ ਦਰਸਾਉਂਦੀ ਹੈ। ਨਵੀਨਤਮ ਹਮਲੇ ਉਹੀ ਆਮ ਵਿਧੀ ਨੂੰ ਬਣਾਈ ਰੱਖਦੇ ਹਨ: ਪੀੜਤਾਂ ਨੂੰ ਵਿੰਡੋਜ਼ ਰਨ ਡਾਇਲਾਗ ਰਾਹੀਂ ਇੱਕ ਖਤਰਨਾਕ DLL ਚਲਾਉਣ ਲਈ ਧੋਖਾ ਦਿੱਤਾ ਜਾਂਦਾ ਹੈ, ਜ਼ਾਹਰ ਤੌਰ 'ਤੇ ਕੈਪਚਾ ਜਾਂਚ ਨੂੰ ਪੂਰਾ ਕਰਨ ਲਈ।

ਹਮਲੇ ਦੀ ਲੜੀ ਦਾ ਸਰੀਰ ਵਿਗਿਆਨ

ਹਮਲਾ ਇਸ ਤਰ੍ਹਾਂ ਹੁੰਦਾ ਹੈ:

BAITSWITCH DLL ਨੂੰ ਚਲਾਇਆ ਜਾਂਦਾ ਹੈ ਅਤੇ SIMPLEFIX ਬੈਕਡੋਰ ਪ੍ਰਾਪਤ ਕਰਨ ਲਈ ਇੱਕ ਹਮਲਾਵਰ-ਨਿਯੰਤਰਿਤ ਡੋਮੇਨ (captchanom.top) ਨਾਲ ਜੁੜਦਾ ਹੈ। ਪੀੜਤ ਦਾ ਧਿਆਨ ਭਟਕਾਉਣ ਲਈ Google ਡਰਾਈਵ 'ਤੇ ਹੋਸਟ ਕੀਤਾ ਗਿਆ ਇੱਕ ਡੀਕੋਏ ਦਸਤਾਵੇਜ਼ ਪ੍ਰਦਰਸ਼ਿਤ ਕੀਤਾ ਜਾਂਦਾ ਹੈ।

ਸਿਸਟਮ ਜਾਣਕਾਰੀ ਸੰਚਾਰਿਤ ਕਰਨ, ਸਥਿਰਤਾ ਲਈ ਕਮਾਂਡਾਂ ਪ੍ਰਾਪਤ ਕਰਨ, ਵਿੰਡੋਜ਼ ਰਜਿਸਟਰੀ ਵਿੱਚ ਏਨਕ੍ਰਿਪਟਡ ਪੇਲੋਡ ਸਟੋਰ ਕਰਨ, ਇੱਕ ਪਾਵਰਸ਼ੈਲ ਸਟੇਜਰ ਡਾਊਨਲੋਡ ਕਰਨ, ਅਤੇ ਟਰੇਸ ਨੂੰ ਕਵਰ ਕਰਨ ਲਈ ਹਾਲੀਆ ਰਨ ਡਾਇਲਾਗ ਇਤਿਹਾਸ ਨੂੰ ਮਿਟਾਉਣ ਲਈ ਇੱਕੋ ਸਰਵਰ ਨੂੰ ਕਈ HTTP ਬੇਨਤੀਆਂ ਭੇਜੀਆਂ ਜਾਂਦੀਆਂ ਹਨ।

ਪਾਵਰਸ਼ੈਲ ਸਟੇਜਰ southprovesolutions.com ਤੋਂ SIMPLEFIX ਡਾਊਨਲੋਡ ਕਰਦਾ ਹੈ। SIMPLEFIX ਇੱਕ ਕਮਾਂਡ-ਐਂਡ-ਕੰਟਰੋਲ (C2) ਸਰਵਰ ਨਾਲ ਇੱਕ ਕਨੈਕਸ਼ਨ ਸਥਾਪਿਤ ਕਰਦਾ ਹੈ, ਜਿਸ ਨਾਲ ਰਿਮੋਟ ਪਾਵਰਸ਼ੈਲ ਸਕ੍ਰਿਪਟਾਂ, ਕਮਾਂਡਾਂ ਅਤੇ ਬਾਈਨਰੀਆਂ ਨੂੰ ਲਾਗੂ ਕੀਤਾ ਜਾ ਸਕਦਾ ਹੈ।

SIMPLEFIX ਰਾਹੀਂ ਚਲਾਈ ਗਈ ਇੱਕ PowerShell ਸਕ੍ਰਿਪਟ, ਐਕਸਫਿਲਟਰੇਸ਼ਨ ਲਈ ਡਾਇਰੈਕਟਰੀਆਂ ਅਤੇ ਫਾਈਲ ਕਿਸਮਾਂ ਦੇ ਇੱਕ ਪੂਰਵ-ਪ੍ਰਭਾਸ਼ਿਤ ਸੈੱਟ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਂਦੀ ਹੈ, ਜੋ ਪਿਛਲੀਆਂ LOSTKEYS ਮੁਹਿੰਮਾਂ ਦੇ ਨਾਲ ਓਵਰਲੈਪ ਨੂੰ ਮਿਰਰ ਕਰਦੀ ਹੈ।

ਟਾਰਗੇਟ ਪ੍ਰੋਫਾਈਲ ਅਤੇ ਰਣਨੀਤਕ ਫੋਕਸ

ਕੋਲਡ੍ਰਾਈਵਰ ਦੇ ਕਾਰਜ ਮੁੱਖ ਤੌਰ 'ਤੇ ਸਿਵਲ ਸੋਸਾਇਟੀ ਦੇ ਕਾਰਕੁਨਾਂ 'ਤੇ ਕੇਂਦ੍ਰਿਤ ਹਨ, ਜਿਨ੍ਹਾਂ ਵਿੱਚ ਸ਼ਾਮਲ ਹਨ:

• ਪੱਛਮੀ ਖੇਤਰਾਂ ਵਿੱਚ ਗੈਰ-ਸਰਕਾਰੀ ਸੰਗਠਨਾਂ ਅਤੇ ਥਿੰਕ ਟੈਂਕਾਂ ਦੇ ਮੈਂਬਰ
• ਮਨੁੱਖੀ ਅਧਿਕਾਰਾਂ ਦੇ ਰਾਖੇ

• ਰੂਸ ਤੋਂ ਦੇਸ਼ ਨਿਕਾਲਾ ਦਿੱਤੇ ਗਏ ਜਾਂ ਰੂਸ ਵਿੱਚ ਰਹਿ ਰਹੇ ਵਿਅਕਤੀ

ਮੌਜੂਦਾ ਮੁਹਿੰਮ ਇਸ ਸਥਾਪਿਤ ਪੀੜਤ ਵਿਗਿਆਨ ਨਾਲ ਨੇੜਿਓਂ ਮੇਲ ਖਾਂਦੀ ਹੈ, ਜੋ ਰੂਸੀ ਸਿਵਲ ਸਮਾਜ ਅਤੇ ਸੰਬੰਧਿਤ ਨੈੱਟਵਰਕਾਂ ਵਿੱਚ ਸਮੂਹ ਦੀ ਚੱਲ ਰਹੀ ਦਿਲਚਸਪੀ ਨੂੰ ਹੋਰ ਮਜ਼ਬੂਤ ਕਰਦੀ ਹੈ।