106 lượt xem
Agent Nguyễn
Cập nhật: 2 ngày trước
Nguồn: Automation
Chiến dịch Mã độc COLDRIVER Mới cùng BO Team và Bearlyfy Nhắm mục tiêu vào các cuộc tấn công mạng ở Nga
Nhóm tác chiến mạng nâng cao (APT) của Nga, được biết đến với tên COLDRIVER, đã bị cáo buộc thực hiện một loạt các cuộc tấn công kiểu ClickFix mới nhằm phân phối hai dòng mã độc "hạng nhẹ" mới có tên BAITSWITCH và SIMPLEFIX. Zscaler ThreatLabz, đơn vị đã phát hiện chiến dịch ClickFix đa giai đoạn mới này vào đầu tháng, mô tả BAITSWITCH là một downloader cuối cùng sẽ thả SIMPLEFIX, một backdoor PowerShell.
Nhóm tác chiến mạng nâng cao (APT) của Nga, được biết đến với tên COLDRIVER, đã bị cáo buộc thực hiện một loạt các cuộc tấn công kiểu ClickFix mới nhằm phân phối hai dòng mã độc "hạng nhẹ" mới có tên BAITSWITCH và SIMPLEFIX.
Zscaler ThreatLabz, đơn vị đã phát hiện chiến dịch ClickFix đa giai đoạn mới này vào đầu tháng, mô tả BAITSWITCH là một downloader cuối cùng sẽ thả SIMPLEFIX, một backdoor PowerShell.
COLDRIVER, còn được theo dõi dưới các tên Callisto, Star Blizzard và UNC4057, là tên gọi được gán cho một nhóm tác nhân đe dọa liên quan đến Nga, nổi tiếng với việc nhắm mục tiêu vào nhiều lĩnh vực khác nhau kể từ năm 2019. Trong khi các đợt chiến dịch ban đầu được quan sát sử dụng các mồi nhử spear-phishing để hướng mục tiêu đến các trang thu thập thông tin xác thực, nhóm này đã mở rộng kho vũ khí của mình với các công cụ tùy chỉnh như SPICA và LOSTKEYS, điều này nhấn mạnh sự tinh vi về kỹ thuật của chúng.
Việc kẻ tấn công sử dụng các chiến thuật ClickFix trước đây đã được Google Threat Intelligence Group (GTIG) ghi nhận vào tháng 5 năm 2025, sử dụng các trang web giả mạo cung cấp các lời nhắc xác minh CAPTCHA giả để lừa nạn nhân thực thi một lệnh PowerShell được thiết kế để phân phối Visual Basic Script LOSTKEYS.
"Việc tiếp tục sử dụng ClickFix cho thấy đây là một vector lây nhiễm hiệu quả, ngay cả khi nó không mới cũng như không quá tiên tiến về mặt kỹ thuật," các nhà nghiên cứu bảo mật của Zscaler là Sudeep Singh và Yin Hong Chang cho biết trong một báo cáo được công bố tuần này.
Chuỗi tấn công mới nhất tuân theo cùng một modus operandi, lừa người dùng không nghi ngờ chạy một DLL độc hại trong hộp thoại Windows Run dưới vỏ bọc hoàn thành kiểm tra CAPTCHA. DLL, BAITSWITCH, kết nối đến một miền do kẻ tấn công kiểm soát ("captchanom[.]top") để lấy backdoor SIMPLEFIX, trong khi một tài liệu mồi nhử được lưu trữ trên Google Drive được hiển thị cho nạn nhân.
Nó cũng thực hiện một số yêu cầu HTTP đến cùng một máy chủ để gửi thông tin hệ thống, nhận lệnh thiết lập persistence, lưu trữ các payload được mã hóa trong Windows Registry, tải xuống một PowerShell stager, xóa lệnh gần đây nhất được thực thi trong hộp thoại Run, từ đó xóa dấu vết của cuộc tấn công ClickFix đã kích hoạt lây nhiễm.
PowerShell stager đã tải xuống sau đó kết nối đến một máy chủ bên ngoài ("southprovesolutions[.]com") để tải xuống SIMPLEFIX, đến lượt nó, thiết lập liên lạc với một máy chủ command-and-control (C2) để chạy các script PowerShell, lệnh và các file binary được lưu trữ trên các URL từ xa.
Một trong các script PowerShell được thực thi qua SIMPLEFIX sẽ trích xuất thông tin về danh sách các loại tệp được mã hóa cứng tìm thấy trong danh sách các thư mục được cấu hình sẵn. Danh sách các thư mục và phần mở rộng tệp được quét có sự trùng lặp với LOSTKEYS.
"Nhóm COLDRIVER APT được biết đến là nhắm mục tiêu vào các thành viên của NGO, những người bảo vệ nhân quyền, các think tank ở các khu vực phương Tây, cũng như các cá nhân bị lưu đày và cư trú tại Nga," Zscaler cho biết. "Trọng tâm của chiến dịch này phù hợp chặt chẽ với đối tượng nạn nhân của chúng, vốn nhắm mục tiêu vào các thành viên của xã hội dân sự có liên hệ với Nga."
BO Team và Bearlyfy Nhắm mục tiêu vào Nga
Sự phát triển này diễn ra khi Kaspersky cho biết họ đã quan sát thấy một chiến dịch phishing mới nhắm mục tiêu vào các công ty Nga vào đầu tháng 9 do nhóm BO Team (còn gọi là Black Owl, Hoody Hyena và Lifting Zmiy) thực hiện, sử dụng các kho lưu trữ RAR được bảo vệ bằng mật khẩu để phân phối một phiên bản mới của BrockenDoor được viết lại bằng C# và một phiên bản cập nhật của ZeronetKit.
Một Golang backdoor, ZeronetKit, được trang bị khả năng hỗ trợ truy cập từ xa vào các máy chủ bị xâm nhập, tải lên/tải xuống tệp, thực thi lệnh bằng cmd.exe và tạo một đường hầm TCP/IPv4. Các phiên bản mới hơn cũng tích hợp hỗ trợ tải xuống và chạy shellcode, cũng như cập nhật khoảng thời gian liên lạc với C2 và sửa đổi danh sách máy chủ C2.
"ZeronetKit không thể tự động duy trì trên một hệ thống bị nhiễm, vì vậy kẻ tấn công sử dụng BrockenDoor để sao chép backdoor đã tải xuống vào startup," nhà cung cấp an ninh mạng của Nga cho biết.
Nó cũng theo sau sự xuất hiện của một nhóm mới có tên Bearlyfy đã sử dụng các biến thể ransomware như LockBit 3.0 và Babuk trong các cuộc tấn công nhắm vào Nga, ban đầu tấn công các công ty nhỏ hơn để đòi tiền chuộc nhỏ hơn trước khi chuyển sang các công ty lớn hơn trong nước bắt đầu từ tháng 4 năm 2025, theo F6. Tính đến tháng 8 năm 2025, nhóm này ước tính đã gây ra ít nhất 30 nạn nhân.
Trong một sự cố nhắm mục tiêu vào một công ty tư vấn, các tác nhân đe dọa đã được quan sát sử dụng một phiên bản Bitrix dễ bị tấn công để truy cập ban đầu, sau đó sử dụng lỗ hổng Zerologon để leo thang đặc quyền. Trong một trường hợp khác được quan sát vào tháng 7, quyền truy cập ban đầu được cho là đã được tạo điều kiện thông qua một công ty đối tác không được nêu tên.
"Trong cuộc tấn công được ghi nhận gần đây nhất, những kẻ tấn công đã yêu cầu 80.000 euro tiền điện tử, trong khi trong cuộc tấn công đầu tiên, tiền chuộc là vài nghìn đô la," các nhà nghiên cứu F6 cho biết. "Do số tiền chuộc tương đối thấp, trung bình cứ năm nạn nhân thì có một người mua công cụ giải mã từ những kẻ tấn công."
Bearlyfy được đánh giá là hoạt động từ tháng 1 năm 2025, với một phân tích sâu hơn về các công cụ của nó cho thấy sự trùng lặp về cơ sở hạ tầng với một nhóm đe dọa có khả năng thân Ukraine tên là PhantomCore, nhóm này có lịch sử nhắm mục tiêu vào các công ty Nga và Belarus từ năm 2022. Mặc dù có những điểm tương đồng này, Bearlyfy được cho là một thực thể tự chủ.
"PhantomCore thực hiện các cuộc tấn công phức tạp, đa giai đoạn điển hình của các chiến dịch APT," công ty cho biết. "Mặt khác, Bearlyfy sử dụng một mô hình khác: các cuộc tấn công với sự chuẩn bị tối thiểu và tập trung mục tiêu vào việc đạt được hiệu quả ngay lập lập tức. Quyền truy cập ban đầu đạt được thông qua việc khai thác các dịch vụ bên ngoài và các ứng dụng dễ bị tấn công. Bộ công cụ chính nhằm mục đích mã hóa, phá hủy hoặc sửa đổi dữ liệu."
