被称为“冷驱动”(COLDRIVER)的俄罗斯高级持续性威胁(APT)组织被认为发起了新一轮类似ClickFix的攻击,这些攻击旨在投放两个新的“轻量级”恶意软件家族,分别被追踪命名为BAITSWITCH和SIMPLEFIX。
Zscaler ThreatLabz本月早些时候发现了新的多阶段ClickFix攻击活动,该机构将BAITSWITCH描述为一种下载器,它最终会释放出一个名为SIMPLEFIX的PowerShell后门。
COLDRIVER(也被追踪为Callisto、Star Blizzard和UNC4057)是一个与俄罗斯有关联的威胁行为体的代号,自2019年以来,该行为体已知会针对广泛的行业进行攻击。早期的攻击活动中,观察到该组织使用鱼叉式钓鱼诱饵引导目标访问 credential harvesting 页面,而如今该组织一直在扩充其武器库,加入了SPICA和LOSTKEYS等定制工具,这凸显了其技术成熟度。
早在2025年5月,谷歌威胁情报小组(GTIG)就已记录过攻击者使用ClickFix策略的情况,他们利用虚假网站发布虚假的验证码验证提示,诱骗受害者执行一个PowerShell命令,而该命令旨在分发LOSTKEYS Visual Basic脚本。
Zscaler安全研究员苏迪普·辛格和张殷红在本周发布的一份报告中表示:“ClickFix的持续使用表明,即便它既不新颖,技术上也不先进,却仍是一种有效的感染载体。”
最新的攻击链采用了相同的作案手法,诱骗毫无防备的用户在Windows运行对话框中运行一个恶意DLL,伪装成完成验证码检查。这个名为BAITSWITCH的DLL会连接到一个由攻击者控制的域名(“captchanom[.]top”),以获取SIMPLEFIX后门程序,同时向受害者展示一个托管在谷歌云端硬盘上的诱饵文档。
它还会向同一服务器发出多个HTTP请求,以发送系统信息、接收用于建立持久化的命令、在Windows注册表中存储加密的有效负载、下载PowerShell加载器、清除“运行”对话框中最近执行的命令,从而有效抹去触发感染的ClickFix攻击痕迹。
下载的PowerShell加载器随后会连接到外部服务器(“southprovesolutions[.]com”)以下载SIMPLEFIX,而SIMPLEFIX又会与命令控制(C2)服务器建立通信,运行托管在远程URL上的PowerShell脚本、命令和二进制文件。
通过SIMPLEFIX执行的其中一个PowerShell脚本会窃取预配置目录列表中特定硬编码文件类型的相关信息。被扫描的目录和文件扩展名列表与LOSTKEYS存在重叠。
“COLDRIVERAPT组织以针对非政府组织成员、西方地区的人权捍卫者、智库以及流亡和居住在俄罗斯境外的个人而闻名,”卓思越(Zscaler)表示。“此次行动的重点与其受害者群体特征高度一致,即针对与俄罗斯有关联的公民社会成员。”
BO团队和Bearlyfy以俄罗斯为目标#
这一进展出现之际,卡巴斯基表示,其在9月初发现了一场针对俄罗斯企业的新钓鱼攻击活动,发起者是BO团队组织(又名“黑猫头鹰”“连帽鬣狗”和“举蛇者”),该组织利用受密码保护的RAR压缩包,分发用C#重写的新版BrockenDoor以及更新后的ZeronetKit。
一款名为ZeronetKit的Golang后门程序具备多种功能,包括支持远程访问受感染主机、上传/下载文件、使用cmd.exe执行命令以及创建TCP/IPv4隧道。某些较新版本还集成了下载和运行shellcode的功能,并能更新与命令控制服务器(C2)的通信间隔,以及修改C2服务器列表。
这家俄罗斯网络安全厂商表示:“ZeronetKit无法在受感染的系统上独立驻留,因此攻击者会利用BrockenDoor将下载的后门程序复制到启动项中。”
据F6称,这还伴随着一个名为Bearlyfy的新组织的出现,该组织使用LockBit 3.0和Babuk等勒索软件变种对俄罗斯发动攻击,最初是针对小型公司索要小额赎金,随后从2025年4月开始将目标转向该国的大型企业。截至2025年8月,据估计该组织已声称至少有30名受害者。
在针对一家咨询公司的一起事件中,观察到威胁行为者利用Bitrix的一个易受攻击版本作为初始访问手段,随后又利用Zerologon漏洞提升权限。在7月观察到的另一起案例中,据称初始访问是通过一家未具名的合作公司实现的。
“在最近记录在案的一次攻击中,攻击者要求支付8万欧元的加密货币,而在第一次攻击中,赎金为数千美元,”F6研究人员表示。“由于赎金金额相对较低,平均每五名受害者中就有一名会从攻击者那里购买解密工具。”
经评估,Bearlyfy自2025年1月起开始活跃。对其工具的深入分析发现,其基础设施与一个可能支持乌克兰的威胁组织PhantomCore存在重叠。该组织自2022年以来就有针对俄罗斯和白俄罗斯公司的攻击记录。尽管存在这些相似之处,但Bearlyfy被认为是一个独立的实体。
该公司表示:“PhantomCore实施的是典型的高级持续性威胁(APT)攻击中那种复杂的多阶段攻击。另一方面,Bearlyfy则采用了不同的模式:攻击准备工作极少,目标明确,旨在达成即时效果。其通过利用外部服务和存在漏洞的应用程序获取初始访问权限。其主要工具包用于加密、销毁或修改数据。”
1. 本版块文章内容及资料部分来源于网络,不代表本站观点,不对其真实性负责,也不构成任何建议。
2. 部分内容由网友自主投稿、编辑整理上传,本站仅提供交流平台,不为该类内容的版权负责。
3. 本版块提供的信息仅作参考,不保证信息的准确性、有效性、及时性和完整性。
4. 若您发现本版块有侵犯您知识产权的内容,请及时与我们联系,我们会尽快修改或删除。
5. 使用者违规、不可抗力(如黑客攻击)或第三方擅自转载引发的争议,联盟不承担责任。
6. 联盟可修订本声明,官网发布即生效,继续使用视为接受新条款。
