Škodlivý softvér SIMPLEFIX
Ruská skupina pokročilých perzistentných hrozieb (APT) COLDRIVER bola spájaná s novou vlnou útokov v štýle ClickFix, ktoré zaviedli dve ľahké rodiny malvéru: BAITSWITCH a SIMPLEFIX. Bezpečnostní výskumníci identifikovali túto viacstupňovú kampaň v septembri 2025. BAITSWITCH funguje ako sťahovač, ktorý nakoniec doručí SIMPLEFIX, zadné vrátka založené na PowerShelle.
Skupina COLDRIVER, známa aj pod prezývkami ako Callisto, Star Blizzard a UNC4057, je aktívna od roku 2019 a zameriava sa na široké spektrum organizácií. Prvé kampane sa spoliehali na spear-phishing, ktorý presmeroval obete na stránky na získavanie prihlasovacích údajov. Postupom času skupina vyvinula vlastné nástroje ako SPICA a LOSTKEYS, ktoré zdôrazňujú jej rastúcu technickú sofistikovanosť.
Obsah
ClickFix: Osvedčený a pretrvávajúci vektor útoku
Táto APT skupina už predtým použila taktiku ClickFix, ktorá bola prvýkrát zdokumentovaná v máji 2025. V týchto kampaniach falošné webové stránky ponúkali podvodné výzvy CAPTCHA, čím oklamali obete, aby vykonali príkazy PowerShellu, ktoré doručovali skript LOSTKEYS Visual Basic.
Hoci ClickFix nie je ani nový, ani veľmi pokročilý, jeho opakované používanie dokazuje jeho účinnosť ako vektora infekcie. Najnovšie útoky si zachovávajú rovnakú všeobecnú metodiku: obete sú oklamané a spustia škodlivú knižnicu DLL prostredníctvom dialógového okna Spustiť systému Windows, údajne na dokončenie kontroly CAPTCHA.
Anatómia útočného reťazca
Útok prebieha nasledovne:
Súbor DLL BAITSWITCH sa spustí a pripojí sa k doméne ovládanej útočníkom (captchanom.top), aby načítal zadné vrátka SIMPLEFIX. Na odvedenie pozornosti obete sa zobrazí návnadový dokument umiestnený na Disku Google.
Na ten istý server sa odosiela niekoľko HTTP požiadaviek na prenos systémových informácií, prijímanie príkazov na pretrvávanie, ukladanie šifrovaných údajov do registra systému Windows, sťahovanie nástroja PowerShell Stager a vymazanie nedávnej histórie dialógových okien Spustiť, aby sa zakryli stopy.
PowerShell stager stiahne SIMPLEFIX zo stránky southprovesolutions.com. SIMPLEFIX nadviaže spojenie so serverom Command-and-Control (C2), čo umožňuje spúšťanie vzdialených skriptov, príkazov a binárnych súborov PowerShellu.
Skript PowerShell spustený pomocou SIMPLEFIXu sa zameriava na preddefinovanú sadu adresárov a typov súborov na exfiltráciu, pričom odráža prekrytia s predchádzajúcimi kampaňami LOSTKEYS.
Cieľový profil a strategické zameranie
Činnosť organizácie COLDRIVER sa zameriava predovšetkým na aktérov občianskej spoločnosti vrátane:
- Členovia mimovládnych organizácií a think-tankov v západných regiónoch
- Obhajcovia ľudských práv
- Osoby vyhnané z Ruska alebo žijúce v Rusku
Súčasná kampaň úzko súvisí s touto zavedenou viktimológiou a posilňuje pretrvávajúci záujem skupiny o ruskú občiansku spoločnosť a súvisiace siete.
