Popust za več licenc
Podjetje o grožnjah Napredna trajna grožnja (APT) SIMPLEFIX Zlonamerna programska oprema

SIMPLEFIX Zlonamerna programska oprema

Do leta Mezo leta Napredna trajna grožnja (APT), Zlonamerna programska oprema
Prevedi v:

Ruska skupina za napredne vztrajne grožnje (APT) COLDRIVER je bila povezana z novim valom napadov v slogu ClickFixa, ki so predstavili dve družini lahke zlonamerne programske opreme: BAITSWITCH in SIMPLEFIX. Varnostni raziskovalci so to večstopenjsko kampanjo odkrili septembra 2025. BAITSWITCH deluje kot program za prenos, ki na koncu dostavi SIMPLEFIX, zadnja vrata, ki temeljijo na PowerShellu.

COLDRIVER, znan tudi pod vzdevki, kot so Callisto, Star Blizzard in UNC4057, je aktiven od leta 2019 in cilja na širok spekter organizacij. Zgodnje kampanje so se zanašale na lažno predstavljanje, da bi žrtve preusmerile na strani za pridobivanje poverilnic. Sčasoma je skupina razvila orodja po meri, kot sta SPICA in LOSTKEYS, kar poudarja njeno naraščajočo tehnično dovršenost.

ClickFix: Preverjen, vztrajen vektor napada

Ta skupina APT je že prej uporabljala taktiko ClickFix, ki je bila prvič dokumentirana maja 2025. V teh kampanjah so lažna spletna mesta ponujala goljufive pozive CAPTCHA in žrtve zavajala v izvajanje ukazov PowerShell, ki so dostavljali skript LOSTKEYS Visual Basic.

Čeprav ClickFix ni ne nov ne zelo napreden, njegova ponavljajoča se uporaba dokazuje njegovo učinkovitost kot vektor okužbe. Najnovejši napadi ohranjajo isto splošno metodologijo: žrtve so prevarane, da prek pogovornega okna Zaženi v sistemu Windows zaženejo zlonamerno DLL-datoteko, domnevno za dokončanje preverjanja CAPTCHA.

Anatomija napadalne verige

Napad poteka na naslednji način:

Datoteka BAITSWITCH DLL se izvede in se poveže z domeno, ki jo nadzoruje napadalec (captchanom.top), da pridobi zadnja vrata SIMPLEFIX. Prikaže se vabljivi dokument, ki je shranjen v storitvi Google Drive, da bi zmotil žrtev.

Na isti strežnik se pošlje več zahtev HTTP za prenos sistemskih informacij, prejemanje ukazov za vztrajnost, shranjevanje šifriranih koristnih tovorov v register sistema Windows, prenos programa PowerShell in brisanje nedavne zgodovine pogovornih oken Zaženi, da se prikrijejo sledi.

PowerShell stager prenese SIMPLEFIX s spletne strani southprovesolutions.com. SIMPLEFIX vzpostavi povezavo s strežnikom Command-and-Control (C2), kar omogoča izvajanje oddaljenih skriptov, ukazov in binarnih datotek PowerShell.

Skript PowerShell, ki se izvaja prek SIMPLEFIX-a, cilja na vnaprej določen nabor imenikov in vrst datotek za izvlečenje, pri čemer zrcali prekrivanja s prejšnjimi kampanjami LOSTKEYS.

Ciljni profil in strateška usmeritev

Delovanje organizacije COLDRIVER se osredotoča predvsem na akterje civilne družbe, vključno z:

  • Člani nevladnih organizacij in možganskih trustov v zahodnih regijah
  • Zagovorniki človekovih pravic
  • Posamezniki, izgnani iz Rusije ali prebivajoči v Rusiji

Trenutna kampanja je tesno povezana s to uveljavljeno viktimologijo in krepi nenehno zanimanje skupine za rusko civilno družbo in z njo povezana omrežja.

V trendu

Najbolj gledan

Nalaganje...