SIMPLEFIX Злонамерни софтвер
Руска напредна група за перзистентне претње (APT) COLDRIVER повезана је са новим таласом напада у стилу ClickFix-а, представљајући две породице лаганих злонамерних софтвера: BAITSWITCH и SIMPLEFIX. Истраживачи безбедности идентификовали су ову вишестепену кампању у септембру 2025. BAITSWITCH делује као програм за преузимање који на крају испоручује SIMPLEFIX, задња врата заснована на PowerShell-у.
COLDRIVER, познат и под псеудонимима као што су Callisto, Star Blizzard и UNC4057, активан је од 2019. године, усмеравајући широк спектар организација. Ране кампање су се ослањале на фишинг како би преусмериле жртве на странице за прикупљање акредитива. Временом је група развила прилагођене алате попут SPICA и LOSTKEYS, истичући њену растућу техничку софистицираност.
Преглед садржаја
ClickFix: Доказан, упоран вектор напада
Ова APT група је претходно користила ClickFix тактику, први пут документовану у мају 2025. У тим кампањама, лажне веб странице су нудиле лажне CAPTCHA упите, варајући жртве да извршавају PowerShell команде које су испоручивале LOSTKEYS Visual Basic скрипту.
Иако ClickFix није ни нов нити веома напредан, његова поновљена употреба показује његову ефикасност као вектора инфекције. Најновији напади задржавају исту општу методологију: жртве се преваром наводе да покрену злонамерни DLL путем дијалога „Покрени“ у систему Windows, наводно да би завршиле CAPTCHA проверу.
Анатомија ланца напада
Напад се одвија на следећи начин:
BAITSWITCH DLL се извршава и повезује са доменом који контролише нападач (captchanom.top) како би преузео SIMPLEFIX задња врата. Приказује се документ мамац који се налази на Google диску како би се одвукла пажња жртве.
Неколико HTTP захтева се шаље на исти сервер за пренос системских информација, примање команди за перзистентност, чување шифрованих корисних оптерећења у Windows регистру, преузимање PowerShell стагера и брисање недавне историје дијалога „Руни“ како би се прикрили трагови.
PowerShell стагер преузима SIMPLEFIX са southprovesolutions.com. SIMPLEFIX успоставља везу са командним и контролним (C2) сервером, омогућавајући извршавање удаљених PowerShell скрипти, команди и бинарних датотека.
PowerShell скрипта извршена путем SIMPLEFIX-а циља унапред предефинисани скуп директоријума и типова датотека за ексфилтрацију, одражавајући преклапања са претходним LOSTKEYS кампањама.
Циљни профил и стратешки фокус
COLDRIVER-ово деловање је првенствено усмерено на актере цивилног друштва, укључујући:
- Чланови невладиних организација и тинк-тенкова у западним регионима
- Бранитељи људских права
- Особе протеране из Русије или које бораве у њој
Тренутна кампања је уско повезана са овом устаљеном виктимологијом, појачавајући континуирано интересовање групе за руско цивилно друштво и повезане мреже.
