SIMPLEFIX Kötü Amaçlı Yazılım
Rus gelişmiş kalıcı tehdit (APT) grubu COLDRIVER, ClickFix tarzı yeni bir saldırı dalgasıyla ilişkilendirildi ve iki hafif kötü amaçlı yazılım ailesi olan BAITSWITCH ve SIMPLEFIX'i tanıttı. Güvenlik araştırmacıları, bu çok aşamalı saldırıyı Eylül 2025'te tespit etti. BAITSWITCH, nihayetinde PowerShell tabanlı bir arka kapı olan SIMPLEFIX'i sunan bir indirici görevi görüyor.
Callisto, Star Blizzard ve UNC4057 gibi takma adlarla da bilinen COLDRIVER, 2019'dan beri faaliyet gösteriyor ve çok çeşitli kuruluşları hedef alıyor. İlk saldırılar, kurbanları kimlik bilgisi toplayan sayfalara yönlendirmek için hedefli kimlik avına dayanıyordu. Zamanla grup, SPICA ve LOSTKEYS gibi özel araçlar geliştirerek artan teknik gelişmişliğini vurguladı.
İçindekiler
ClickFix: Kanıtlanmış, Kalıcı Bir Saldırı Vektörü
Bu APT grubu daha önce ClickFix taktiklerini kullanmıştı ve ilk olarak Mayıs 2025'te belgelenmişti. Bu kampanyalarda sahte web siteleri, kurbanları LOSTKEYS Visual Basic Script'i ileten PowerShell komutlarını yürütmeye kandıran sahte CAPTCHA istemleri sunuyordu.
ClickFix ne yeni ne de oldukça gelişmiş bir yazılım olsa da, tekrarlanan kullanımı bir enfeksiyon vektörü olarak etkinliğini kanıtlıyor. En son saldırılar aynı genel metodolojiyi sürdürüyor: Kurbanlar, görünüşte bir CAPTCHA kontrolü tamamlamak için Windows Çalıştır iletişim kutusu aracılığıyla kötü amaçlı bir DLL çalıştırmaya kandırılıyor.
Saldırı Zincirinin Anatomisi
Saldırı şu şekilde gerçekleşiyor:
BAITSWITCH DLL çalıştırılır ve SIMPLEFIX arka kapısını açmak için saldırganın kontrolündeki bir etki alanına (captchanom.top) bağlanır. Kurbanı oyalamak için Google Drive'da barındırılan bir sahte belge görüntülenir.
Sistem bilgilerini iletmek, kalıcılık için komutlar almak, şifrelenmiş yükleri Windows Kayıt Defteri'nde depolamak, bir PowerShell sahneleyicisi indirmek ve izleri örtmek için yakın zamandaki Çalıştır iletişim kutusu geçmişini silmek amacıyla aynı sunucuya birden fazla HTTP isteği gönderilir.
PowerShell sahneleyicisi, SIMPLEFIX'i southprovesolutions.com adresinden indirir. SIMPLEFIX, uzak PowerShell betiklerinin, komutlarının ve ikili dosyalarının yürütülmesini sağlayan bir Komut ve Kontrol (C2) sunucusuyla bağlantı kurar.
SIMPLEFIX aracılığıyla yürütülen bir PowerShell betiği, önceden tanımlanmış bir dizin ve dosya türü kümesini hedef alarak, önceki LOSTKEYS kampanyalarıyla örtüşmeleri yansıtır.
Hedef Profili ve Stratejik Odak
COLDRIVER'ın faaliyetleri öncelikli olarak sivil toplum aktörlerine odaklanmaktadır. Bunlar arasında şunlar yer almaktadır:
- Batı bölgelerindeki STK ve düşünce kuruluşlarının üyeleri
- İnsan hakları savunucuları
- Rusya'dan sürgün edilen veya Rusya'da ikamet eden kişiler
Mevcut kampanya, bu yerleşik mağduriyet anlayışıyla yakından örtüşüyor ve grubun Rus sivil toplumu ve ilgili ağlara olan devam eden ilgisini güçlendiriyor.
