SIMPLEFIX Malware
Ang Russian advanced persistent threat (APT) group na COLDRIVER ay na-link sa isang bagong wave ng ClickFix-style na pag-atake, na nagpapakilala ng dalawang magaan na pamilya ng malware: BAITSWITCH at SIMPLEFIX. Natukoy ng mga mananaliksik sa seguridad ang multi-stage na campaign na ito noong Setyembre 2025. Ang BAITSWITCH ay gumaganap bilang isang downloader na sa huli ay naghahatid ng SIMPLEFIX, isang backdoor na nakabatay sa PowerShell.
Ang COLDRIVER, na kilala rin sa mga alyas gaya ng Callisto, Star Blizzard, at UNC4057, ay naging aktibo mula noong 2019, na nagta-target ng malawak na spectrum ng mga organisasyon. Ang mga naunang kampanya ay umasa sa spear-phishing upang i-redirect ang mga biktima sa mga pahina ng pag-aani ng kredensyal. Sa paglipas ng panahon, nakabuo ang grupo ng mga custom na tool tulad ng SPICA at LOSTKEYS, na itinatampok ang lumalagong teknikal na pagiging sopistikado nito.
Talaan ng mga Nilalaman
ClickFix: Isang Subok, Patuloy na Attack Vector
Ang grupong APT na ito ay dati nang nag-deploy ng mga taktika ng ClickFix, na unang naidokumento noong Mayo 2025. Sa mga campaign na iyon, nag-aalok ang mga pekeng website ng mga mapanlinlang na CAPTCHA prompt, na nanlilinlang sa mga biktima sa pagpapatupad ng mga PowerShell command na naghatid ng LOSTKEYS Visual Basic Script.
Bagama't ang ClickFix ay hindi nobela o napakahusay, ang paulit-ulit na paggamit nito ay nagpapakita ng pagiging epektibo nito bilang isang vector ng impeksiyon. Ang pinakabagong mga pag-atake ay nagpapanatili ng parehong pangkalahatang pamamaraan: ang mga biktima ay nalinlang sa pagpapatakbo ng isang nakakahamak na DLL sa pamamagitan ng dialog ng Windows Run, na tila upang makumpleto ang isang CAPTCHA check.
Anatomy ng Attack Chain
Ang pag-atake ay nagpapatuloy tulad ng sumusunod:
Ang BAITSWITCH DLL ay isinasagawa at kumokonekta sa isang domain na kontrolado ng attacker (captchanom.top) upang kunin ang SIMPLEFIX backdoor. Isang decoy na dokumento na naka-host sa Google Drive ay ipinapakita upang makagambala sa biktima.
Maraming HTTP na kahilingan ang ipinapadala sa parehong server upang magpadala ng impormasyon ng system, tumanggap ng mga command para sa pagtitiyaga, mag-imbak ng mga naka-encrypt na payload sa Windows Registry, mag-download ng PowerShell stager, at burahin ang kamakailang Run dialog history upang masakop ang mga bakas.
Ang PowerShell stager ay nagda-download ng SIMPLEFIX mula sa southprovesolutions.com. Ang SIMPLEFIX ay nagtatatag ng koneksyon sa isang Command-and-Control (C2) server, na nagpapagana sa pagpapatupad ng mga remote na PowerShell script, command, at binary.
Ang isang PowerShell script na isinagawa sa pamamagitan ng SIMPLEFIX ay nagta-target ng isang paunang natukoy na hanay ng mga direktoryo at mga uri ng file para sa pag-exfiltration, pag-mirror ng mga overlap sa mga nakaraang LOSTKEYS na kampanya.
Target na Profile at Madiskarteng Pokus
Pangunahing nakatuon ang mga operasyon ng COLDRIVER sa mga aktor ng civil society, kabilang ang:
- Mga miyembro ng mga NGO at think tank sa mga rehiyon sa Kanluran
Ang kasalukuyang kampanya ay malapit na nakahanay sa itinatag na victimology na ito, na nagpapatibay sa patuloy na interes ng grupo sa lipunang sibil ng Russia at mga kaugnay na network.
