新型COLDRIVER恶意软件活动加入BO Team和Bearlyfy的俄罗斯定向网络攻击

俄罗斯高级持续性威胁组织COLDRIVER被指发动新一轮ClickFix式攻击，旨在投放两个新型“轻量级”恶意软件家族BAITSWITCH和SIMPLEFIX。

本月早些时候检测到这一多阶段ClickFix活动的Zscaler ThreatLabz将BAITSWITCH描述为最终投放SIMPLEFIX的下载器，后者是一种PowerShell后门。

COLDRIVER亦被追踪为Callisto、Star Blizzard和UNC4057，是与俄罗斯有关的威胁行为者代号，自2019年以来已知针对多个行业领域。虽然早期攻击活动使用鱼叉式网络钓鱼诱饵将目标导向凭证窃取页面，但该组织正在通过SPICA和LOSTKEYS等定制工具扩充其武器库，凸显其技术复杂度。

2025年5月，谷歌威胁情报小组曾记录该对手使用ClickFix策略，通过提供虚假验证码验证提示的虚假网站诱骗受害者执行旨在投放LOSTKEYS Visual Basic脚本的PowerShell命令。

Zscaler安全研究人员Sudeep Singh和Yin Hong Chang在本周发布的报告中表示：“ClickFix的持续使用表明其是有效的感染载体，尽管既不新颖也不技术先进。”

最新攻击链沿用相同作案手法，诱骗毫无戒心的用户在Windows运行对话框中以完成验证码检查为名运行恶意DLL。该DLL（BAITSWITCH）会连接攻击者控制的域名以获取SIMPLEFIX后门，同时向受害者展示托管在Google Drive上的诱饵文档。

它还会向同一服务器发起多个HTTP请求以发送系统信息、接收建立持久性的命令、在Windows注册表中存储加密载荷、下载PowerShell暂存器、清除运行对话框中最近执行的命令，从而有效抹除触发感染的ClickFix攻击痕迹。

下载的PowerShell暂存器随后会连接外部服务器以下载SIMPLEFIX，后者进而与命令控制服务器建立通信以运行托管在远程URL上的PowerShell脚本、命令和二进制文件。

通过SIMPLEFIX执行的某个PowerShell脚本会泄露预配置目录列表中硬编码文件类型的信息。其扫描的目录和文件扩展名列表与LOSTKEYS存在重叠。

Zscaler表示：“COLDRIVER APT组织以针对西方地区的非政府组织成员、人权捍卫者、智库以及流亡和居住在俄罗斯的个人而闻名。本次活动的重点与其受害者特征密切吻合。”

BO Team和Bearlyfy瞄准俄罗斯

与此同时，卡巴斯基表示在9月初观察到BO Team组织针对俄罗斯企业的新钓鱼活动，使用受密码保护的RAR压缩包投放C#重写的新版BrockenDoor和更新版ZeronetKit。

Golang后门ZeronetKit具备支持远程访问受陷主机、上传/下载文件、使用cmd.exe执行命令以及创建TCP/IPv4隧道的能力。部分新版本还支持下载运行shellcode、更新与C2的通信间隔并修改C2服务器列表。

这家俄罗斯网络安全供应商表示：“ZeronetKit无法在受感染系统上独立保持持久性，因此攻击者使用BrockenDoor将下载的后门复制到启动项。”

据F6称，新出现的Bearlyfy组织在针对俄罗斯的攻击中使用LockBit 3.0和Babuk等勒索软件变种，最初攻击小型公司索要较小赎金，后于2025年4月开始升级攻击该国大型企业。截至2025年8月，该组织估计已至少侵害30个受害者。

在针对某咨询公司的事件中，观察到威胁行为者利用易受攻击的Bitrix版本获取初始访问权限，随后使用Zerologon漏洞提升权限。在7月观察到的另一起事件中，初始访问据称是通过未具名的合作公司实现。

F6研究人员表示：“在最近记录的攻击中，攻击者要求8万欧元加密货币赎金，而首次攻击的赎金为数千美元。由于赎金金额相对较低，平均每五名受害者中就有一人向攻击者购买解密器。”

Bearlyfy被评估自2025年1月开始活跃，对其工具的深入分析发现其基础设施与可能亲乌克兰的威胁组织PhantomCore存在重叠，后者自2022年以来一直以俄罗斯和白俄罗斯公司为目标。尽管存在这些相似之处，Bearlyfy被认为是一个自治实体。

该公司表示：“PhantomCore实施典型的APT活动式复杂多阶段攻击。而Bearlyfy使用不同模式：以最小准备进行攻击，针对性聚焦实现即时效果。初始访问通过利用外部服务和易受攻击应用程序实现。主要工具包旨在加密、破坏或修改数据。”