Rabattoffert för flera licenser
Hotdatabas Advanced Persistent Threat (APT) SIMPLEFIX-skadlig programvara

SIMPLEFIX-skadlig programvara

Med Mezo år Advanced Persistent Threat (APT), Skadlig programvara
Översätt till:

Den ryska gruppen för avancerade, ihållande hot (APT) COLDRIVER har kopplats till en ny våg av attacker i ClickFix-stil, och introducerar två familjer av lätta skadliga program: BAITSWITCH och SIMPLEFIX. Säkerhetsforskare identifierade denna flerstegskampanj i september 2025. BAITSWITCH fungerar som en nedladdare som slutligen levererar SIMPLEFIX, en PowerShell-baserad bakdörr.

COLDRIVER, även känt under alias som Callisto, Star Blizzard och UNC4057, har varit aktivt sedan 2019 och riktat sig mot ett brett spektrum av organisationer. Tidiga kampanjer förlitade sig på spear-phishing för att omdirigera offer till sidor för insamling av autentiseringsuppgifter. Med tiden har gruppen utvecklat anpassade verktyg som SPICA och LOSTKEYS, vilket belyser dess växande tekniska sofistikering.

ClickFix: En beprövad, ihållande attackvektor

Denna APT-grupp har tidigare använt ClickFix-taktiker, först dokumenterade i maj 2025. I dessa kampanjer erbjöd falska webbplatser bedrägliga CAPTCHA-prompter, vilket lurade offren att köra PowerShell-kommandon som levererade LOSTKEYS Visual Basic-skript.

Även om ClickFix varken är nytt eller särskilt avancerat, visar dess upprepade användning dess effektivitet som infektionsvektor. De senaste attackerna använder samma allmänna metod: offren luras att köra en skadlig DLL via Windows Kör-dialogruta, till synes för att slutföra en CAPTCHA-kontroll.

Anatomi av attackkedjan

Attacken fortskrider enligt följande:

BAITSWITCH DLL-filen körs och ansluter till en angriparkontrollerad domän (captchanom.top) för att hämta SIMPLEFIX-bakdörren. Ett lockbetedokument som finns på Google Drive visas för att distrahera offret.

Flera HTTP-förfrågningar skickas till samma server för att överföra systeminformation, ta emot kommandon för beständighet, lagra krypterade nyttolaster i Windows-registret, ladda ner en PowerShell-stager och radera den senaste kördialoghistoriken för att täcka spår.

PowerShell-stagern laddar ner SIMPLEFIX från southprovesolutions.com. SIMPLEFIX upprättar en anslutning till en kommando-och-kontrollserver (C2), vilket möjliggör körning av fjärrskript, kommandon och binärfiler från PowerShell.

Ett PowerShell-skript som körs via SIMPLEFIX riktar sig mot en fördefinierad uppsättning kataloger och filtyper för exfiltrering, vilket speglar överlappningar med tidigare LOSTKEYS-kampanjer.

Målprofil och strategiskt fokus

COLDRIVERs verksamhet fokuserar främst på aktörer i civilsamhället, inklusive:

  • Medlemmar i icke-statliga organisationer och tankesmedjor i västra regioner
  • Människorättsförsvarare
  • Personer som är i exil från eller bosatta i Ryssland

Den nuvarande kampanjen ligger nära i linje med denna etablerade viktimologi och förstärker gruppens fortsatta intresse för det ryska civilsamhället och relaterade nätverk.

Trendigt

Mest sedda

Läser in...