SIMPLEFIX 惡意軟體

俄羅斯高階持續性威脅 (APT) 組織 COLDRIVER 被發現與新一波 ClickFix 式攻擊有關，該攻擊引入了兩個輕量級惡意軟體家族：BAITSWITCH 和 SIMPLEFIX。安全研究人員於 2025 年 9 月發現了這次多階段攻擊活動。 BAITSWITCH 充當下載器，最終傳播基於 PowerShell 的後門 SIMPLEFIX。

COLDRIVER，又名 Callisto、Star Blizzard 和 UNC4057，自 2019 年以來一直活躍，針對廣泛的組織。早期的攻擊活動依靠魚叉式網路釣魚將受害者重新導向到憑證竊取頁面。隨著時間的推移，該組織開發了 SPICA 和 LOSTKEYS 等客製化工具，凸顯了其日益複雜的技術水平。

ClickFix：一種經過驗證的持久攻擊媒介

該 APT 組織先前曾部署 ClickFix 策略，最早記錄於 2025 年 5 月。在這些活動中，假網站提供詐騙 CAPTCHA 提示，誘騙受害者執行傳遞 LOSTKEYS Visual Basic 腳本的 PowerShell 指令。

雖然 ClickFix 並非新奇之舉，也並非十分先進，但其反覆使用證明了其作為感染媒介的有效性。最新的攻擊延續了相同的一般手法：受害者被誘騙透過 Windows 執行對話方塊執行惡意 DLL，表面上是為了完成 CAPTCHA 檢查。

攻擊鏈剖析

攻擊過程如下：

BAITSWITCH DLL 被執行並連接到攻擊者控制的網域 (captchanom.top) 以取得 SIMPLEFIX 後門。攻擊者會顯示一個託管在 Google Drive 上的誘餌文檔，以分散受害者的注意力。

多個 HTTP 請求被傳送到同一台伺服器，以傳輸系統資訊、接收持久性命令、在 Windows 登錄中儲存加密的有效負載、下載 PowerShell 暫存器以及擦除最近的執行對話方塊歷史記錄以掩蓋痕跡。

PowerShell 階段程式從 southprovesolutions.com 下載 SIMPLEFIX。 SIMPLEFIX 與命令與控制 (C2) 伺服器建立連接，因此能夠執行遠端 PowerShell 腳本、命令和二進位檔案。

透過 SIMPLEFIX 執行的 PowerShell 腳本針對一組預先定義的目錄和檔案類型進行洩露，與先前的 LOSTKEYS 活動重疊。

目標概況和策略重點

COLDRIVER 的行動主要關注民間社會行為者，包括：

• 西部地區非政府組織、智庫成員

目前的活動與既定的受害者觀念密切相關，加強了該組織對俄羅斯公民社會和相關網絡的持續關注。