摘要：COLDRIVER，也被追踪为 Star Blizzard、Callisto 和 UNC4057，专注于针对西方国家和国内NGO组织、智库、记者和人权捍卫者的凭证网络钓鱼活动。

与俄罗斯有关的威胁组织继续利用复杂的社会工程活动和恶意软件工具瞄准西方国家目标。

该活动传播了两个之前未记录的恶意软件系列：一个名为 BAITSWITCH 的下载程序和一个名为 SIMPLEFIX 的基于 PowerShell 的后门。

COLDRIVER，也被追踪为 Star Blizzard、Callisto 和 UNC4057，专注于针对西方国家和国内NGO组织、智库、记者和人权捍卫者的凭证网络钓鱼活动。

根据 Zscaler ThreatLabz 最近的研究，COLDRIVER 组织已扩大其攻击武器库，并发起了一项新的多阶段 ClickFix 活动，旨在针对俄罗斯民间社会成员。

该组织的最新活动代表了其策略的重大演变，融合了他们在 2025 年初首次采用的 ClickFix 社会工程技术。

当受害者访问一个伪装成俄罗斯民间社会成员信息资源的网页时，攻击就开始了。

该网站显示一个伪造的Cloudflare Turnstile 复选框，旨在诱骗用户执行恶意命令。点击后，嵌入的 JavaScript 会将恶意的 rundll32.exe 命令复制到受害者的剪贴板，指示他们在 Windows 运行对话框中粘贴并执行该命令。

恶意软件有效载荷传递链使用伪造的CAPTCHA和分阶段的客户端-服务器通信。

利用 BAITSWITCH 传递 SIMPLEFIX 的多阶段端到端 ClickFix 活动攻击链

BAITSWITCH 下载程序（machinerie.dll）是一种复杂的恶意软件，可以建立持久性并检索额外的有效负载。

该恶意软件使用硬编码的用户代理字符串连接到命令和控制基础设施，服务器仅响应此特定标识符以避免被安全研究人员检测到。

BAITSWITCH 执行精心策划的五阶段过程。

1.通过修改 UserInitMprLogonScript 注册表项来建立持久性，以便在下次用户登录时执行 PowerShell 脚本。

2.将加密的有效载荷存储在 Windows 注册表项 EnthusiastMod 和 QatItems 中。

3.从 southprovesolutions.com 下载 PowerShell stager 并将其保存到受害者的 AppData 目录中。

4.恶意软件会通过清除 RunMRU 注册表项来执行反取证活动，从而有效抹去初始ClickFix命令执行的痕迹。

5.将受害者的主机名发送到命令与控制服务器，很可能是为了注册受感染的系统以供将来的操作。

SIMPLEFIX 后门表明 COLDRIVER 偏爱在内存中运行轻量级、无文件恶意软件。

基于 PowerShell 的工具采用字符串混淆技术并通过注册表操作建立持久性，这使得传统安全工具的检测变得具有挑战性。

一旦激活，SIMPLEFIX 就会按照三分钟的轮询周期运行，为所有命令和控制通信生成结合计算机名称、用户名和机器 UUID 的唯一用户代理字符串。

该后门支持三种主要命令类型：具有可自定义命令行参数的二进制部署、系统侦察命令执行以及具有输出泄露的 PowerShell 脚本执行。

在分析过程中，研究人员观察到该恶意软件执行全面的侦察命令，包括“whoami /all”、“ipconfig /all”、“systeminfo”和网络枚举工具。

最令人担忧的是一个 PowerShell 脚本，旨在从目标目录（包括文档、下载、桌面和 OneDrive 文件夹）中窃取有关特定文件类型（.pdf、.doc、.xls、.txt、.zip、.rar、.7z）的信息。

Zscaler ThreatLabz 根据多种重叠的策略、技术和程序，将此活动归咎于 COLDRIVER APT组织，并有一定把握。

ClickFix HTML 页面与 COLDRIVER 2025 年 1 月的活动材料有相似之处，而拆分解密密钥方法则反映了其 LOSTKEYS VBScript 恶意软件中使用的技术。

侦察能力与之前的 COLDRIVER 行动非常接近，特别是对可以提供战略情报价值的文档文件的系统性列举。

最重要的是，该活动的受害者类型与 COLDRIVER 既定的目标模式完全一致，重点关注俄罗斯民间社会成员、人权捍卫者和与民主运动有关的个人。

该威胁组织的持续演变表明民间社会组织和异见人士面临的持续危险。

COLDRIVER 采用 ClickFix 技术，结合基于 PowerShell 的轻量级恶意软件，代表了一种绕过许多传统安全控制同时保持操作安全的有效方法。

技术报告：

来源：会杀毒的单反狗