Шкідливе програмне забезпечення SIMPLEFIX
Російську групу розробників стійких APT-атак (COLDRIVER) пов'язують з новою хвилею атак у стилі ClickFix, яка представила два сімейства легковажних шкідливих програм: BAITSWITCH та SIMPLEFIX. Дослідники безпеки виявили цю багатоетапну кампанію у вересні 2025 року. BAITSWITCH діє як завантажувач, який зрештою постачає SIMPLEFIX, бекдор на базі PowerShell.
COLDRIVER, також відомий під такими псевдонімами, як Callisto, Star Blizzard та UNC4057, діє з 2019 року, спрямований на широкий спектр організацій. Ранні кампанії покладалися на фішинг для перенаправлення жертв на сторінки збору облікових даних. З часом група розробила власні інструменти, такі як SPICA та LOSTKEYS, що підкреслює її зростаючу технічну досконалість.
Зміст
ClickFix: перевірений, стійкий вектор атаки
Ця APT-група раніше використовувала тактику ClickFix, вперше задокументовану у травні 2025 року. У цих кампаніях фальшиві веб-сайти пропонували шахрайські запити CAPTCHA, обманом змушуючи жертв виконувати команди PowerShell, які доставляли скрипт Visual Basic LOSTKEYS.
Хоча ClickFix не є ні новим, ні надсучасним, його багаторазове використання демонструє його ефективність як вектора зараження. Останні атаки дотримуються тієї ж загальної методології: жертв обманом змушують запускати шкідливу DLL-бібліотеку через діалогове вікно «Виконати» Windows, нібито для завершення перевірки CAPTCHA.
Анатомія ланцюга атак
Атака відбувається наступним чином:
Бібліотека BAITSWITCH виконується та підключається до домену, контрольованого зловмисником (captchanom.top), для отримання бекдору SIMPLEFIX. Для відволікання уваги жертви відображається документ-приманка, розміщений на Google Диску.
Кілька HTTP-запитів надсилаються на один і той самий сервер для передачі системної інформації, отримання команд для збереження, зберігання зашифрованих корисних навантажень у реєстрі Windows, завантаження модуля підготовки PowerShell та видалення історії нещодавніх діалогових вікон «Виконати» для приховування слідів.
Інструмент стажерингу PowerShell завантажує SIMPLEFIX з сайту southprovesolutions.com. SIMPLEFIX встановлює з'єднання з сервером командування та керування (C2), що дозволяє виконувати віддалені скрипти, команди та бінарні файли PowerShell.
Скрипт PowerShell, що виконується через SIMPLEFIX, вибирає заздалегідь визначений набір каталогів і типів файлів для вилучення, відображаючи перекриття з попередніми кампаніями LOSTKEYS.
Цільовий профіль та стратегічний фокус
Діяльність COLDRIVER в першу чергу зосереджена на суб'єктах громадянського суспільства, зокрема:
- Члени неурядових організацій та аналітичних центрів у західних регіонах
Поточна кампанія тісно пов'язана з цією усталеною віктимологією, підкріплюючи постійний інтерес групи до російського громадянського суспільства та пов'язаних з ним мереж.
