HackerNews 编译,转载请注明出处:
俄罗斯高级持续性威胁(APT)组织 COLDRIVER 被指控发起新一轮 ClickFix 式攻击,用于投递两种新型“轻量级”恶意软件家族,分别为 BAITSWITCH 和 SIMPLEFIX。
本月早些时候,Zscaler ThreatLabz 发现了这一多阶段 ClickFix 攻击活动。研究人员指出,BAITSWITCH 是一个下载器,最终会投递 SIMPLEFIX ,一种基于 PowerShell 的后门。
COLDRIVER 也被称为 Callisto、Star Blizzard 和 UNC4057,自2019年以来一直被追踪为与俄罗斯相关的威胁行为体,其攻击目标涵盖多个领域。早期,该组织常通过鱼叉式钓鱼诱导受害者进入凭证窃取页面;近年来,他们逐渐开发并使用 SPICA 和 LOSTKEYS 等定制工具,显示出较高的技术成熟度。
该组织使用 ClickFix 战术的情况,早在2025年5月就被 Google 威胁情报组(GTIG)披露。当时他们通过伪造网站的“假验证码验证”界面,诱使受害者执行 PowerShell 命令,从而下载 LOSTKEYS 的 Visual Basic 脚本。
Zscaler 安全研究员 Sudeep Singh 和 Yin Hong Chang 在本周发布的报告中表示:“持续利用 ClickFix 表明它作为感染途径依然高效,即使这种方法既不新颖,也不算特别先进。”
最新攻击链沿用了相同模式:诱骗毫无防备的用户在 Windows 运行对话框中输入恶意 DLL,以完成伪造的验证码检查。这个 DLL(即 BAITSWITCH)会连接到攻击者控制的域名 captchanom[.]top,从中下载 SIMPLEFIX 后门,同时向受害者展示托管在 Google Drive 上的诱饵文档。
此外,该恶意程序还会向同一服务器发送多次 HTTP 请求,用于传送系统信息、接收建立持久化的命令、将加密载荷存储在 Windows 注册表中、下载 PowerShell 启动器,并清除运行对话框中最近执行的命令,以此抹除 ClickFix 攻击的痕迹。
下载的 PowerShell 启动器随后会连接到外部服务器 southprovesolutions[.]com,下载 SIMPLEFIX,再与指挥控制(C2)服务器建立通信,执行远程 URL 上托管的 PowerShell 脚本、命令及二进制文件。
其中一段通过 SIMPLEFIX 执行的 PowerShell 脚本会窃取指定目录下、预设文件类型清单中的信息。这些扫描目录和文件扩展名与 LOSTKEYS 有部分重叠。
Zscaler 表示:“COLDRIVER APT组织长期以来以西方地区的非政府组织成员、人权维护者、智库研究人员,以及流亡在外的俄罗斯公民为主要攻击对象。本次活动的受害者画像与其一贯的攻击目标高度一致。”
消息来源:thehackernews;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
