SIMPLEFIX Malware
Rosyjska grupa COLDRIVER, stanowiąca zaawansowane, trwałe zagrożenie (APT), została powiązana z nową falą ataków w stylu ClickFix, wprowadzając dwie lekkie rodziny złośliwego oprogramowania: BAITSWITCH i SIMPLEFIX. Badacze bezpieczeństwa zidentyfikowali tę wieloetapową kampanię we wrześniu 2025 roku. BAITSWITCH działa jako program pobierający, który ostatecznie dostarcza SIMPLEFIX, backdoor oparty na programie PowerShell.
Grupa COLDRIVER, znana również pod pseudonimami Callisto, Star Blizzard i UNC4057, działa od 2019 roku, atakując szerokie spektrum organizacji. Wczesne kampanie opierały się na spear phishingu, przekierowując ofiary na strony internetowe gromadzące dane uwierzytelniające. Z czasem grupa opracowała niestandardowe narzędzia, takie jak SPICA i LOSTKEYS, co świadczy o jej rosnącym zaawansowaniu technicznym.
Spis treści
ClickFix: sprawdzony, trwały wektor ataku
Ta grupa APT wdrożyła już wcześniej taktykę ClickFix, udokumentowaną po raz pierwszy w maju 2025 r. W ramach tych kampanii fałszywe strony internetowe oferowały fałszywe monity CAPTCHA, nakłaniając ofiary do wykonania poleceń programu PowerShell, które dostarczały skrypt LOSTKEYS w języku Visual Basic.
Chociaż ClickFix nie jest ani nowatorski, ani wysoce zaawansowany, jego wielokrotne użycie dowodzi jego skuteczności jako wektora infekcji. Najnowsze ataki opierają się na tej samej ogólnej metodologii: ofiary są oszukiwane i zmuszane do uruchomienia złośliwej biblioteki DLL za pomocą okna dialogowego Uruchom w systemie Windows, rzekomo w celu wykonania testu CAPTCHA.
Anatomia łańcucha ataku
Atak przebiega w następujący sposób:
Uruchomiona zostaje biblioteka DLL BAITSWITCH, która łączy się z domeną kontrolowaną przez atakującego (captchanom.top), aby pobrać backdoor SIMPLEFIX. Aby odwrócić uwagę ofiary, wyświetlany jest dokument-pułapka hostowany na Dysku Google.
Kilka żądań HTTP jest wysyłanych do tego samego serwera w celu przesłania informacji o systemie, odebrania poleceń dotyczących trwałości, zapisania zaszyfrowanych ładunków w rejestrze systemu Windows, pobrania modułu PowerShell i wymazania historii ostatnich okien dialogowych Uruchom w celu zatarcia śladów.
Program PowerShell stager pobiera SIMPLEFIX z southprovesolutions.com. SIMPLEFIX nawiązuje połączenie z serwerem Command-and-Control (C2), umożliwiając zdalne wykonywanie skryptów, poleceń i plików binarnych programu PowerShell.
Skrypt programu PowerShell wykonywany za pośrednictwem SIMPLEFIX ma na celu eksfiltrację wstępnie zdefiniowanego zestawu katalogów i typów plików, odzwierciedlając nakładanie się z poprzednimi kampaniami LOSTKEYS.
Profil docelowy i strategiczne ukierunkowanie
Działalność COLDRIVER skupia się przede wszystkim na podmiotach społeczeństwa obywatelskiego, w tym:
- Członkowie organizacji pozarządowych i ośrodków analitycznych w regionach zachodnich
Obecna kampania wpisuje się ściśle w tę utrwaloną wiktymologię, potwierdzając nieustające zainteresowanie grupy rosyjskim społeczeństwem obywatelskim i powiązanymi z nim sieciami.
