SIMPLEFIX มัลแวร์

กลุ่มภัยคุกคามขั้นสูงต่อเนื่อง (APT) ของรัสเซีย COLDRIVER มีส่วนเกี่ยวข้องกับการโจมตีระลอกใหม่แบบ ClickFix โดยเปิดตัวมัลแวร์ขนาดเล็กสองตระกูล ได้แก่ BAITSWITCH และ SIMPLEFIX นักวิจัยด้านความปลอดภัยระบุถึงแคมเปญแบบหลายขั้นตอนนี้ในเดือนกันยายน 2568 BAITSWITCH ทำหน้าที่เป็นตัวดาวน์โหลดที่ส่ง SIMPLEFIX ซึ่งเป็นแบ็คดอร์ที่ทำงานบน PowerShell ในที่สุด

COLDRIVER หรือที่รู้จักกันในชื่ออื่น ๆ เช่น Callisto, Star Blizzard และ UNC4057 เริ่มดำเนินการตั้งแต่ปี 2019 โดยมุ่งเป้าไปที่องค์กรหลากหลายประเภท แคมเปญแรก ๆ อาศัยการฟิชชิ่งแบบเจาะจง (Spear-phishing) เพื่อเปลี่ยนเส้นทางเหยื่อไปยังหน้ารวบรวมข้อมูลประจำตัว เมื่อเวลาผ่านไป กลุ่มนี้ได้พัฒนาเครื่องมือเฉพาะทาง เช่น SPICA และ LOSTKEYS ซึ่งเน้นย้ำถึงความซับซ้อนทางเทคนิคที่เพิ่มมากขึ้น

ClickFix: เวกเตอร์การโจมตีที่ได้รับการพิสูจน์แล้วและต่อเนื่อง

กลุ่ม APT นี้เคยใช้กลวิธี ClickFix มาแล้ว ซึ่งได้รับการบันทึกไว้ครั้งแรกในเดือนพฤษภาคม พ.ศ. 2568 ในแคมเปญเหล่านี้ เว็บไซต์ปลอมจะเสนอคำเตือน CAPTCHA หลอกลวงเหยื่อให้ดำเนินการคำสั่ง PowerShell ที่ส่งสคริปต์ LOSTKEYS Visual Basic

แม้ว่า ClickFix จะไม่ใช่ซอฟต์แวร์ที่แปลกใหม่หรือก้าวหน้ามากนัก แต่การใช้งานซ้ำๆ แสดงให้เห็นถึงประสิทธิภาพในการเป็นพาหะนำการติดเชื้อ การโจมตีล่าสุดยังคงใช้วิธีการทั่วไปเช่นเดิม นั่นคือ เหยื่อจะถูกหลอกให้รันไฟล์ DLL อันตรายผ่านกล่องโต้ตอบ Run ของ Windows ซึ่งอ้างว่าเป็นการตรวจสอบ CAPTCHA

กายวิภาคของห่วงโซ่การโจมตี

การโจมตีดำเนินไปดังต่อไปนี้:

DLL ของ BAITSWITCH จะถูกเรียกใช้งานและเชื่อมต่อกับโดเมนที่ผู้โจมตีควบคุม (captchanom.top) เพื่อดึงช่องโหว่ SIMPLEFIX ออกมา เอกสารปลอมที่โฮสต์บน Google Drive จะปรากฏขึ้นเพื่อเบี่ยงเบนความสนใจของเหยื่อ

คำขอ HTTP หลายรายการจะถูกส่งไปยังเซิร์ฟเวอร์เดียวกันเพื่อส่งข้อมูลระบบ รับคำสั่งสำหรับการคงอยู่ จัดเก็บข้อมูลที่เข้ารหัสไว้ใน Windows Registry ดาวน์โหลดตัวจัดเตรียม PowerShell และลบประวัติกล่องโต้ตอบการเรียกใช้ล่าสุดเพื่อปกปิดร่องรอย

ตัวจัดการ PowerShell ดาวน์โหลด SIMPLEFIX จาก southprovesolutions.com SIMPLEFIX สร้างการเชื่อมต่อกับเซิร์ฟเวอร์ Command-and-Control (C2) ช่วยให้สามารถเรียกใช้สคริปต์ PowerShell คำสั่ง และไฟล์ไบนารีจากระยะไกลได้

สคริปต์ PowerShell ที่ดำเนินการผ่าน SIMPLEFIX จะกำหนดเป้าหมายไปที่ชุดไดเรกทอรีและประเภทไฟล์ที่กำหนดไว้ล่วงหน้าสำหรับการแยกข้อมูล โดยจะซ้อนทับกับแคมเปญ LOSTKEYS ก่อนหน้า

โปรไฟล์เป้าหมายและการมุ่งเน้นเชิงกลยุทธ์

การดำเนินงานของ COLDRIVER มุ่งเน้นไปที่กลุ่มผู้มีส่วนได้ส่วนเสียในสังคมพลเมืองเป็นหลัก ได้แก่:

• สมาชิกขององค์กรพัฒนาเอกชนและสถาบันวิจัยในภูมิภาคตะวันตก

แคมเปญปัจจุบันสอดคล้องอย่างใกล้ชิดกับรูปแบบการตกเป็นเหยื่อที่ได้รับการยอมรับนี้ โดยตอกย้ำความสนใจอย่างต่อเนื่องของกลุ่มในสังคมพลเมืองรัสเซียและเครือข่ายที่เกี่ยวข้อง