Coldriver olarak bilinen Rus Gelişmiş Kalıcı Tehdit (APT) grubu, Baitswitch ve SimpleFix olarak izlenen iki yeni “hafif” kötü amaçlı yazılım ailesi sunmak için tasarlanmış yeni bir ClickFix tarzı saldırı turuna atfedildi.
Bu ayın başlarında yeni çok aşamalı ClickFix kampanyasını tespit eden Zscaler tehdidi, BaitSwitch’i nihayetinde bir PowerShell arka kapısı olan SimpleFix’i düşüren bir indirici olarak tanımladı.
COLDRIVER, also tracked as Callisto, Star Blizzard, and UNC4057, is the moniker assigned to a Russia-linked threat actor that’s known to target a wide range of sectors since 2019. While early campaign waves were observed using spear-phishing lures to direct targets to credential harvesting pages, the group has been fleshing out its arsenal with custom tools like SPICA and LOSTKEYS, which underscores its technical sofistike.
Düşman’ın ClickFix taktiklerini kullanması, Mayıs 2025’te Google Tehdit İstihbarat Grubu (GTIG) tarafından, kurbanı LostKeys Visual Basic senaryosunu teslim etmek için tasarlanmış bir PowerShell komutunu yürütmek için kandırmak için sahte captcha doğrulama istemlerini kullanan sahte siteler kullanılarak belgelenmişti.
Zscaler güvenlik araştırmacıları Sudeep Singh ve Yin Hong Chang, bu hafta yayınlanan bir raporda, “ClickFix’in sürekli kullanımı, ne yeni ne de teknik olarak gelişmiş olsa bile, etkili bir enfeksiyon vektörü olduğunu gösteriyor.” Dedi.
En son saldırı zinciri, aynı modus operandi’yi takip ederek, şüphesiz kullanıcıları bir Captcha çekini tamamlama kisvesi altında Windows Run iletişim kutusunda kötü niyetli bir DLL çalıştırmaya kandırıyor. DLL, Baitswitch, saldırgan kontrollü bir alana ulaşır (“Captchanom[.]Top “) SimpleFix arka kapıyı almak için, Google Drive’da barındırılan bir tuzak belgesi kurbanlara sunulur.
Ayrıca aynı sunucuya sistem bilgileri göndermek, kalıcılık oluşturmak için komutlar almak, Windows kayıt defterinde şifreli yükleri depolamak, bir PowerShell Stager’ı indirmek, RUN iletişim kutusunda yürütülen en son komutu temizlemek için enfeksiyonu tetikleyen tıklama saldırılarının izlerini ortadan kaldırmak için birkaç HTTP isteği yapar.
İndirilen PowerShell Stager daha sonra harici bir sunucuya ulaşır (“SouthProvesolutions[.]com “), PowerShell komut dosyalarını, komutlarını ve uzak URL’lerde barındırılan ikili dosyaları çalıştırmak için bir komut ve kontrol (C2) sunucusu ile iletişim kuran SimpleFix’i indirmek için.
SimpleFix aracılığıyla yürütülen PowerShell komut dosyalarından biri, önceden yapılandırılmış bir dizin listesinde bulunan sert kodlanmış dosya türleri listesi hakkında bilgi veriyor. Dizinler ve dosya uzantıları listesi, paylaşımlar LostKeys ile örtüşüyor.
Zscaler, “Coldriver Apt Grubu, STK üyelerini, insan sağ savunucuları, batı bölgelerindeki tankların yanı sıra Rusya’dan sürgün edilen ve ikamet eden bireyleri hedeflemekle biliniyor.” Dedi. Diyerek şöyle devam etti: “Bu kampanyanın odak noktası, Rusya’ya bağlı sivil toplum üyelerini hedefleyen mağdurlarıyla yakından uyumlu.”
Bo Team ve Bearlyfy Hedef Rusya
Geliştirme, Kaspersky’nin Eylül ayı başlarında Rus şirketlerini hedefleyen yeni bir kimlik avı kampanyası gözlemlediğini, BO takım grubu (diğer adıyla Black Owl, Hoody Sırtlan ve ZMIY’yi kaldırma) tarafından, C# ve ZeronetKit’in güncellenmiş bir versiyonunu sunmak için şifre korumalı RAR arşivlerini kullanarak üstlendiği gibi.
Bir Golang arka kapısı olan ZeronetKit, tehlikeye atılan ana bilgisayarlara uzaktan erişimi desteklemek, dosyaları yüklemek/indirmek, cmd.exe kullanarak komutları yürütmek ve bir TCP/IPv4 tüneli oluşturmak için özelliklerle donatılmıştır. Seçin Yeni sürümler ayrıca Shellcode’u indirme ve çalıştırma desteğini de dahil edin, ayrıca C2 ile iletişim aralığını güncelleyin ve C2 sunucu listesini değiştirin.
Rus siber güvenlik satıcısı, “ZeronetKit enfekte bir sistemde bağımsız olarak devam edemiyor, bu nedenle saldırganlar, indirilen arka kapıyı başlangıç için kopyalamak için Brockendoor’u kullanıyor.” Dedi.
F6’ya göre, Rusya’yı hedefleyen Lockbit 3.0 ve Babuk gibi fidye yazılımı suşları ve Babuk gibi fidye yazılımı suşları kullanan Bearlyfy adlı yeni bir grubun ortaya çıkmasını takip ediyor. Ağustos 2025 itibariyle grubun en az 30 kurban talep ettiği tahmin edilmektedir.
Bir danışmanlık şirketini hedefleyen bir olayda, tehdit aktörlerinin ilk erişim için Bitrix’in savunmasız bir versiyonunu silahlandırdığı ve ardından ayrıcalıkları artırmak için Zerologon kusurunu kullanma izlendi. Temmuz ayında gözlemlenen başka bir durumda, ilk erişimin isimsiz bir ortak şirket tarafından kolaylaştırıldığı söyleniyor.
F6 araştırmacıları, “En son kaydedilen saldırıda, saldırganlar kripto para biriminde 80.000 € talep ederken, ilk saldırıda fidye birkaç bin dolardı.” Dedi. Diyerek şöyle devam etti: “Nispeten düşük fidye miktarları nedeniyle ortalama olarak, her beşinci kurban saldırganlardan şifrelemeleri satın alıyor.”
Bearlyfy, Ocak 2025’ten bu yana aktif olarak değerlendiriliyor ve altyapıyı ortaya çıkaran araçların daha derin bir analizi, 2022’den bu yana Rus ve Belarus şirketlerini hedefleyen bir geçmişe sahip olan Muhtemelen Ukrayna yanlısı bir tehdit grubu ile örtüşüyor. Bearlyfy’nin özerk bir varlık olduğuna inanılıyor.
Şirket, “Phantomcore, APT kampanyalarına özgü karmaşık, çok aşamalı saldırılar uyguluyor.” Dedi. “Öte yandan, Bearlyfy farklı bir model kullanıyor: minimal hazırlık ve hemen bir etki yaratmaya yönelik hedeflenen saldırılar. Dış hizmetlerin ve savunmasız uygulamalardan yararlanarak ilk erişim sağlanır. Birincil araç takımı, şifreleme, yıkım veya verilerin değiştirilmesini amaçlamaktadır.”