Các tác nhân mối đe dọa mạng liên kết với Nga, nhóm COLDRIVER APT (còn được theo dõi với các tên gọi như Star Blizzard, Callisto, và UNC4057), tiếp tục nhắm mục tiêu vào xã hội dân sự với các chiến dịch tấn công social engineering tinh vi và công cụ mã độc nhẹ. Chiến dịch này đã phát tán hai họ mã độc mới chưa từng được ghi nhận trước đây: một trình tải xuống có tên BAITSWITCH và một backdoor dựa trên PowerShell mang tên SIMPLEFIX.

Theo nghiên cứu gần đây của Zscaler ThreatLabz, nhóm COLDRIVER APT đã mở rộng kho vũ khí tấn công của mình với một chiến dịch nhiều giai đoạn mới mang tên ClickFix, được thiết kế để nhắm vào các thành viên xã hội dân sự Nga.

COLDRIVER APT: Chiến Lược Mới Trong Các Cuộc Tấn Công Mạng

Nhóm COLDRIVER APT từ lâu đã tập trung vào các chiến dịch lừa đảo thông tin đăng nhập (credential phishing) nhằm vào các tổ chức phi chính phủ (NGO), think tank, nhà báo và những người bảo vệ nhân quyền ở cả các nước phương Tây và Nga.

Chiến dịch mới nhất của nhóm thể hiện một sự phát triển đáng kể trong các chiến thuật của họ, kết hợp kỹ thuật social engineering ClickFix mà họ đã áp dụng lần đầu vào đầu năm 2025.

Kỹ Thuật Social Engineering ClickFix

Cuộc tấn công bắt đầu khi nạn nhân truy cập một trang web giả mạo làm tài nguyên thông tin cho các thành viên xã hội dân sự Nga đang đối mặt với thử thách. Trang web này hiển thị một hộp kiểm Cloudflare Turnstile giả được thiết kế để lừa người dùng thực thi các lệnh độc hại.

Khi nhấp vào, mã JavaScript được nhúng sẽ sao chép một lệnh độc hại như rundll32.exe vào clipboard của nạn nhân, hướng dẫn họ dán và thực thi lệnh này trong hộp thoại Run của Windows.

Kỹ thuật tấn công này tương tự như chuỗi phân phối tải trọng mã độc LOSTKEYS sử dụng CAPTCHA giả mạo và giao tiếp client-server theo từng giai đoạn.

Tài liệu mồi nhử này, một bản báo cáo hai trang về việc xây dựng khả năng phục hồi cho các thành viên xã hội dân sự Nga lưu vong thông qua các chương trình cố vấn và học bổng, cung cấp vỏ bọc hoàn hảo cho các hoạt động độc hại đang diễn ra ngầm.

Phân Tích Kỹ Thuật Mã Độc BAITSWITCH

Trình tải xuống BAITSWITCH (machinerie.dll) là một mảnh ghép mã độc tinh vi, có nhiệm vụ thiết lập khả năng duy trì quyền truy cập (persistence) và lấy thêm các tải trọng độc hại khác.

Mã độc này kết nối với cơ sở hạ tầng command-and-control (C2) bằng cách sử dụng một chuỗi user-agent được mã hóa cứng. Các máy chủ C2 chỉ phản hồi với định danh cụ thể này nhằm tránh bị các nhà nghiên cứu bảo mật phát hiện.

Cơ Chế Hoạt Động Của BAITSWITCH

BAITSWITCH thực hiện một quy trình năm giai đoạn được sắp xếp cẩn thận:

• Giai đoạn 1: Thiết lập khả năng duy trì quyền truy cập bằng cách sửa đổi khóa registry UserInitMprLogonScript để thực thi một script PowerShell vào lần đăng nhập tiếp theo của người dùng.
• Giai đoạn 2: Lưu trữ các tải trọng được mã hóa trong các khóa registry của Windows là EnthusiastMod và QatItems.
• Giai đoạn 3: Tải xuống một stager PowerShell từ southprovesolutions.com và lưu nó vào thư mục AppData của nạn nhân.
• Giai đoạn 4: Thực hiện các hoạt động chống lại phân tích pháp y (anti-forensics) bằng cách xóa khóa registry RunMRU, xóa bỏ dấu vết thực thi lệnh ClickFix ban đầu.
• Giai đoạn 5: Gửi hostname của nạn nhân đến máy chủ command-and-control, có khả năng đăng ký hệ thống bị xâm nhập cho các hoạt động trong tương lai.

Mã Độc Backdoor SIMPLEFIX: Công Cụ Thăm Dò Và Khai Thác

Backdoor SIMPLEFIX thể hiện sự ưu tiên của COLDRIVER APT đối với mã độc nhẹ, không file (fileless) và hoạt động hoàn toàn trong bộ nhớ.

Công cụ dựa trên PowerShell này sử dụng các kỹ thuật che giấu chuỗi (string obfuscation) và thiết lập khả năng duy trì quyền truy cập thông qua thao tác registry, khiến việc phát hiện trở nên khó khăn đối với các công cụ bảo mật truyền thống.

Tính Năng Và Cơ Chế Duy Trì Quyền Truy Cập

Một khi hoạt động, SIMPLEFIX hoạt động theo chu kỳ thăm dò ba phút, tạo ra các chuỗi user-agent duy nhất kết hợp tên máy tính, tên người dùng và UUID máy cho tất cả các giao tiếp command-and-control.

Backdoor này hỗ trợ ba loại lệnh chính:

• Triển khai nhị phân với các tham số dòng lệnh có thể tùy chỉnh.
• Thực thi lệnh thăm dò hệ thống (system reconnaissance).
• Thực thi script PowerShell với khả năng xuất dữ liệu (output exfiltration).

Trong quá trình phân tích, các nhà nghiên cứu đã quan sát thấy mã độc thực thi các lệnh thăm dò toàn diện, bao gồm:

whoami /all
ipconfig /all
systeminfo

Cùng với đó là các công cụ liệt kê mạng (network enumeration tools).

Điểm đáng lo ngại nhất là một script PowerShell được thiết kế để đánh cắp thông tin về các loại file cụ thể (.pdf, .doc, .xls, .txt, .zip, .rar, .7z) từ các thư mục mục tiêu bao gồm Documents, Downloads, Desktop và thư mục OneDrive.

Đặc Điểm Nhận Dạng Và Phân Tích Khai Thác Của COLDRIVER APT

Zscaler ThreatLabz đã gán chiến dịch này cho COLDRIVER APT với mức độ tin cậy vừa phải, dựa trên nhiều chiến thuật, kỹ thuật và quy trình (TTPs) chồng chéo.

Kết Nối Với Các Chiến Dịch Trước Đây

Trang HTML ClickFix có những điểm tương đồng với các tài liệu chiến dịch tháng 1 năm 2025 của COLDRIVER APT. Phương pháp chia khóa giải mã phản ánh các kỹ thuật được sử dụng trong mã độc VBScript LOSTKEYS của nhóm.

Khả năng thăm dò phù hợp chặt chẽ với các hoạt động trước đây của COLDRIVER APT, đặc biệt là việc liệt kê có hệ thống các file tài liệu có thể cung cấp giá trị tình báo chiến lược.

Quan trọng nhất, danh sách nạn nhân của chiến dịch này hoàn toàn phù hợp với các mô hình nhắm mục tiêu đã được thiết lập của COLDRIVER APT, tập trung vào các thành viên xã hội dân sự Nga, những người bảo vệ nhân quyền và các cá nhân liên quan đến phong trào ủng hộ dân chủ. Sự phát triển không ngừng của nhóm đe dọa này thể hiện nguy hiểm dai dẳng mà các tổ chức xã hội dân sự và những người bất đồng chính kiến đang phải đối mặt từ mối đe dọa mạng.

Chỉ Dẫn Kỹ Thuật và Biện Pháp Phòng Ngừa

Việc COLDRIVER APT áp dụng các kỹ thuật ClickFix, kết hợp với mã độc nhẹ dựa trên PowerShell, đại diện cho một phương pháp tiếp cận hiệu quả, bỏ qua nhiều kiểm soát bảo mật truyền thống trong khi vẫn duy trì an ninh hoạt động.

Các chuyên gia bảo mật khuyến nghị thực hiện các biện pháp an ninh mạng cơ bản để phòng thủ chống lại các cuộc tấn công này:

• Các tổ chức nên thực thi kiểm soát truy cập đặc quyền tối thiểu (least privilege access controls) và triển khai công nghệ kiểm soát ứng dụng như Windows AppLocker hoặc App Control để chặn các script và tệp nhị phân trái phép.
• Công nghệ cách ly trình duyệt (browser isolation) có thể giúp giảm thiểu tương tác clipboard và ngăn chặn các hành động của người dùng trên các trang web không đáng tin cậy làm ảnh hưởng đến hệ thống.
• Ngoài ra, đào tạo nhận thức bảo mật (security awareness training) cần nhấn mạnh rủi ro khi thực thi các lệnh từ nội dung clipboard, đặc biệt khi được các trang web yêu cầu xác minh CAPTCHA hoặc các bước khắc phục sự cố kỹ thuật.

Chiến dịch của COLDRIVER APT nhấn mạnh rằng các tác nhân quốc gia tinh vi vẫn tiếp tục nhắm mục tiêu vào các cộng đồng dễ bị tổn thương với các chiến thuật đang phát triển. Trong khi các kỹ thuật được sử dụng không phải là mới lạ hay tiên tiến về mặt kỹ thuật, hiệu quả của chúng đối với các nhóm đối tượng mục tiêu vẫn là một vấn đề đáng lo ngại cho các tổ chức xã hội dân sự hoạt động trong môi trường rủi ro cao. Tham khảo thêm chi tiết về chiến dịch tại đây.

Các Chỉ Số Thỏa Hiệp (IOCs)

• Nhóm Tấn Công: COLDRIVER (còn được gọi là Star Blizzard, Callisto, UNC4057)
• Họ Mã Độc: BAITSWITCH, SIMPLEFIX
• Tên Miền C2:southprovesolutions.com