SIMPLEFIX தீம்பொருள்

ரஷ்ய மேம்பட்ட தொடர்ச்சியான அச்சுறுத்தல் (APT) குழுவான COLDRIVER, ClickFix-பாணி தாக்குதல்களின் புதிய அலையுடன் இணைக்கப்பட்டுள்ளது, இது இரண்டு இலகுரக தீம்பொருள் குடும்பங்களை அறிமுகப்படுத்துகிறது: BAITSWITCH மற்றும் SIMPLEFIX. பாதுகாப்பு ஆராய்ச்சியாளர்கள் இந்த பல-நிலை பிரச்சாரத்தை செப்டம்பர் 2025 இல் அடையாளம் கண்டனர். BAITSWITCH ஒரு பதிவிறக்கியாக செயல்படுகிறது, இது இறுதியில் பவர்ஷெல் அடிப்படையிலான பின்புறக் கதவு SIMPLEFIX ஐ வழங்குகிறது.

Callisto, Star Blizzard மற்றும் UNC4057 போன்ற மாற்றுப் பெயர்களால் அறியப்படும் COLDRIVER, 2019 முதல் பல்வேறு நிறுவனங்களை இலக்காகக் கொண்டு செயல்பட்டு வருகிறது. ஆரம்பகால பிரச்சாரங்கள் பாதிக்கப்பட்டவர்களை நற்சான்றிதழ்-அறுவடை பக்கங்களுக்குத் திருப்பிவிட ஸ்பியர்-ஃபிஷிங்கை நம்பியிருந்தன. காலப்போக்கில், குழு SPICA மற்றும் LOSTKEYS போன்ற தனிப்பயன் கருவிகளை உருவாக்கியுள்ளது, இது அதன் வளர்ந்து வரும் தொழில்நுட்ப நுட்பத்தை எடுத்துக்காட்டுகிறது.

ClickFix: ஒரு நிரூபிக்கப்பட்ட, தொடர்ச்சியான தாக்குதல் திசையன்

இந்த APT குழு முன்னர் ClickFix தந்திரோபாயங்களைப் பயன்படுத்தியது, இது முதன்முதலில் மே 2025 இல் ஆவணப்படுத்தப்பட்டது. அந்த பிரச்சாரங்களில், போலி வலைத்தளங்கள் மோசடியான CAPTCHA தூண்டுதல்களை வழங்கின, பாதிக்கப்பட்டவர்களை LOSTKEYS விஷுவல் பேசிக் ஸ்கிரிப்டை வழங்கும் PowerShell கட்டளைகளை செயல்படுத்த ஏமாற்றின.

ClickFix புதுமையானதோ அல்லது மிகவும் மேம்பட்டதோ அல்ல என்றாலும், அதன் தொடர்ச்சியான பயன்பாடு ஒரு தொற்று திசையனாக அதன் செயல்திறனை நிரூபிக்கிறது. சமீபத்திய தாக்குதல்கள் அதே பொதுவான முறையைப் பராமரிக்கின்றன: பாதிக்கப்பட்டவர்கள் Windows Run உரையாடல் மூலம் ஒரு தீங்கிழைக்கும் DLL ஐ இயக்க ஏமாற்றப்படுகிறார்கள், வெளிப்படையாக CAPTCHA சரிபார்ப்பை முடிக்க.

தாக்குதல் சங்கிலியின் உடற்கூறியல்

தாக்குதல் பின்வருமாறு தொடர்கிறது:

BAITSWITCH DLL செயல்படுத்தப்பட்டு, SIMPLEFIX பின்கதவைப் பெற தாக்குபவர் கட்டுப்படுத்தும் டொமைனுடன் (captchanom.top) இணைகிறது. பாதிக்கப்பட்டவரின் கவனத்தைத் திசைதிருப்ப Google இயக்ககத்தில் ஹோஸ்ட் செய்யப்பட்ட ஒரு ஏமாற்று ஆவணம் காட்டப்படும்.

கணினித் தகவலை அனுப்பவும், நிலைத்தன்மைக்கான கட்டளைகளைப் பெறவும், Windows Registry இல் மறைகுறியாக்கப்பட்ட பேலோடுகளைச் சேமிக்கவும், PowerShell ஸ்டேஜரைப் பதிவிறக்கவும், சமீபத்திய Run உரையாடல் வரலாற்றை அழிக்கவும், தடயங்களை மறைக்க பல HTTP கோரிக்கைகள் ஒரே சேவையகத்திற்கு அனுப்பப்படுகின்றன.

பவர்ஷெல் ஸ்டேஜர் southprovesolutions.com இலிருந்து SIMPLEFIX ஐ பதிவிறக்குகிறது. SIMPLEFIX ஒரு கட்டளை மற்றும் கட்டுப்பாடு (C2) சேவையகத்துடன் இணைப்பை நிறுவுகிறது, இது தொலைதூர பவர்ஷெல் ஸ்கிரிப்டுகள், கட்டளைகள் மற்றும் பைனரிகளை செயல்படுத்துவதை செயல்படுத்துகிறது.

SIMPLEFIX வழியாக செயல்படுத்தப்படும் ஒரு பவர்ஷெல் ஸ்கிரிப்ட், வெளியேற்றத்திற்கான முன் வரையறுக்கப்பட்ட கோப்பகங்கள் மற்றும் கோப்பு வகைகளை இலக்காகக் கொண்டுள்ளது, முந்தைய LOSTKEYS பிரச்சாரங்களுடன் மேலெழுதல்களைப் பிரதிபலிக்கிறது.

இலக்கு விவரக்குறிப்பு மற்றும் மூலோபாய கவனம்

COLDRIVER இன் செயல்பாடுகள் முதன்மையாக சிவில் சமூக நடிகர்களை மையமாகக் கொண்டுள்ளன, அவற்றுள்:

• மேற்கு பிராந்தியங்களில் உள்ள அரசு சாரா நிறுவனங்கள் மற்றும் சிந்தனைக் குழுக்களின் உறுப்பினர்கள்

தற்போதைய பிரச்சாரம் இந்த நிறுவப்பட்ட பாதிக்கப்பட்ட ஆய்வியலுடன் நெருக்கமாக ஒத்துப்போகிறது, இது ரஷ்ய சிவில் சமூகம் மற்றும் தொடர்புடைய நெட்வொர்க்குகளில் குழுவின் தொடர்ச்சியான ஆர்வத்தை வலுப்படுத்துகிறது.