SIMPLEFIXマルウェア
ロシアの高度で持続的な脅威(APT)グループCOLDRIVERは、ClickFix型の新たな攻撃の波に関与していることが判明しており、2つの軽量マルウェアファミリー「BAITSWITCH」と「SIMPLEFIX」を導入しています。セキュリティ研究者は2025年9月に、この多段階のキャンペーンを特定しました。BAITSWITCHはダウンローダーとして機能し、最終的にPowerShellベースのバックドアであるSIMPLEFIXを配信します。
Callisto、Star Blizzard、UNC4057などの別名でも知られるCOLDRIVERは、2019年から活動を続け、幅広い組織を標的としています。初期のキャンペーンでは、スピアフィッシングを利用して被害者を認証情報収集ページにリダイレクトしていました。その後、このグループはSPICAやLOSTKEYSなどのカスタムツールを開発し、技術的に高度化を続けています。
目次
ClickFix: 実証済みの持続的な攻撃ベクトル
この APT グループは、2025 年 5 月に初めて記録された ClickFix 戦術を以前にも展開していました。それらのキャンペーンでは、偽の Web サイトで不正な CAPTCHA プロンプトを表示し、被害者を騙して PowerShell コマンドを実行させ、LOSTKEYS Visual Basic スクリプトを配信していました。
ClickFixは目新しいものでも高度なものでもありませんが、繰り返し使用されていることから感染経路としての有効性が実証されています。最新の攻撃でも、基本的な手口は変わりません。被害者はWindowsの「ファイル名を指定して実行」ダイアログから悪意のあるDLLを実行するように仕向けられ、CAPTCHAチェックを完了させるように見せかけられています。
攻撃チェーンの解剖
攻撃は次のように進行します。
BAITSWITCH DLLが実行され、攻撃者が管理するドメイン(captchanom.top)に接続してSIMPLEFIXバックドアを取得します。Googleドライブにホストされているおとり文書が表示され、被害者の注意をそらします。
システム情報を送信し、永続化のためのコマンドを受信し、暗号化されたペイロードを Windows レジストリに保存し、PowerShell ステージャーをダウンロードし、痕跡を隠すために最近の実行ダイアログ履歴を消去するために、複数の HTTP 要求が同じサーバーに送信されます。
PowerShellステージャーは、southprovesolutions.comからSIMPLEFIXをダウンロードします。SIMPLEFIXはコマンドアンドコントロール(C2)サーバーとの接続を確立し、リモートPowerShellスクリプト、コマンド、バイナリの実行を可能にします。
SIMPLEFIX を介して実行される PowerShell スクリプトは、事前定義された一連のディレクトリとファイル タイプをターゲットにしてデータを流出させます。これは、以前の LOSTKEYS キャンペーンとの重複を反映しています。
ターゲットプロファイルと戦略的焦点
COLDRIVER の活動は主に、次のような民間社会の主体に焦点を当てています。
- 西側諸国のNGOやシンクタンクのメンバー
現在のキャンペーンは、この確立された被害者学と密接に一致しており、ロシアの民間社会と関連ネットワークに対するグループの継続的な関心を強化しています。
