SIMPLEFIX 恶意软件
俄罗斯高级持续性威胁 (APT) 组织 COLDRIVER 被发现与新一波 ClickFix 式攻击有关,该攻击引入了两个轻量级恶意软件家族:BAITSWITCH 和 SIMPLEFIX。安全研究人员于 2025 年 9 月发现了这一多阶段攻击活动。BAITSWITCH 充当下载器,最终传播基于 PowerShell 的后门 SIMPLEFIX。
COLDRIVER,又名 Callisto、Star Blizzard 和 UNC4057,自 2019 年以来一直活跃,针对范围广泛的组织。早期的攻击活动依靠鱼叉式网络钓鱼将受害者重定向到凭证窃取页面。随着时间的推移,该组织开发了 SPICA 和 LOSTKEYS 等定制工具,凸显了其日益复杂的技术水平。
目录
ClickFix:一种经过验证的持久攻击媒介
该 APT 组织此前曾部署过 ClickFix 策略,最早记录于 2025 年 5 月。在这些活动中,虚假网站提供欺诈性 CAPTCHA 提示,诱骗受害者执行传递 LOSTKEYS Visual Basic 脚本的 PowerShell 命令。
虽然 ClickFix 并非新奇之举,也并非十分先进,但其反复使用证明了其作为感染媒介的有效性。最新的攻击延续了相同的一般手法:受害者被诱骗通过 Windows 运行对话框运行恶意 DLL,表面上是为了完成 CAPTCHA 检查。
攻击链剖析
攻击过程如下:
BAITSWITCH DLL 被执行并连接到攻击者控制的域名 (captchanom.top) 以获取 SIMPLEFIX 后门。攻击者会显示一个托管在 Google Drive 上的诱饵文档,以分散受害者的注意力。
多个 HTTP 请求被发送到同一台服务器,以传输系统信息、接收持久性命令、在 Windows 注册表中存储加密的有效负载、下载 PowerShell 暂存器以及擦除最近的运行对话框历史记录以掩盖痕迹。
PowerShell 阶段程序从 southprovesolutions.com 下载 SIMPLEFIX。SIMPLEFIX 与命令与控制 (C2) 服务器建立连接,从而能够执行远程 PowerShell 脚本、命令和二进制文件。
通过 SIMPLEFIX 执行的 PowerShell 脚本针对一组预定义的目录和文件类型进行泄露,与之前的 LOSTKEYS 活动有重叠。
目标概况和战略重点
COLDRIVER 的行动主要关注民间社会行为者,包括:
- 西部地区非政府组织、智库成员
当前的活动与既定的受害者观念密切相关,加强了该组织对俄罗斯公民社会和相关网络的持续关注。
