概述 近年来针对俄罗斯相关组织的网络攻击呈现更高的组织化与多样化,多个活跃组织在攻防舞台上交错出现。复合性攻击链与低成本但高成功率的社会工程手法成为攻击者首选。最新发现显示,俄罗斯相关的高级持续性威胁COLDRIVER在近期加大了ClickFix风格攻击的使用,推出名为BAITSWITCH与SIMPLEFIX的轻量级恶意软件套件。同时,BO Team与Bearlyfy也在不同目标与战术上展现活跃态势,进一步凸显区域威胁生态的复杂性与紧迫性。 COLDRIVER与ClickFix战术回顾 COLDRIVER又名Callisto、Star Blizzard或UNC4057,自2019年起对非营利组织、人权捍卫者、智库以及流亡社群等目标展开长期针对性攻击。早期以鱼叉式钓鱼引导凭证收集页面为主,后续不断扩展工具链并开发定制恶意程序。
ClickFix属于一种社会工程载体,攻击者伪造所谓的验证码或CAPTCHA验证页面,诱导受害者在浏览器或Windows运行对话框中执行特定命令,从而在目标主机上触发后续负载的执行。谷歌威胁情报组此前披露了LOSTKEYS等通过类似手法传播的案例,证明ClickFix尽管并非技术上复杂,但在成功率上仍然有效。 BAITSWITCH与SIMPLEFIX的技术细节 最新活动中,COLDRIVER使用的BAITSWITCH表现为DLL型下载器,伪装成完成验证码所需的组件,诱导用户将其加载到Windows运行对话框中执行。BAITSWITCH会与控制域名captchanom[.]top建立通信,发送主机信息并接收持久化指令。其后端下载并部署的为名为SIMPLEFIX的PowerShell后门,SIMPLEFIX具备运行远端PowerShell脚本、执行命令和下载外部二进制文件的能力。 攻击链的多个环节值得注意。
首先,攻击者通常在攻击页面提供一个位于谷歌云端硬盘的诱饵文档以转移受害者注意力,同时在后台触发DLL的加载。BAITSWITCH会将部分加密的有效载荷存储在Windows注册表中,执行PowerShell阶段加载器以从域名southprovesolutions[.]com检索SIMPLEFIX。为避免检测,攻击链会清除运行对话框中最近执行的命令痕迹,并多次向C2服务器发送系统信息以确认控制链路。 SIMPLEFIX随后通过硬编码的目录与文件扩展名列表扫描主机,收集关键数据并上传到C2,扫描项与早先的LOSTKEYS所使用的列表存在重叠,表明攻击者在目标类型与数据兴趣上保持一致。由Zscaler ThreatLabz等组织的分析显示,ClickFix依旧是COLDRIVER经常采用的有效感染手段。 BO Team的攻击特点与工具演进 与COLDRIVER侧重于情报窃取与长期潜伏不同,BO Team(也称Black Owl、Hoody Hyena或Lifting Zmiy)在近期面向俄罗斯企业的钓鱼活动中,采用了不同的战利品与载荷交付方式。
卡巴斯基的观察指出,攻击者使用带密码保护的RAR压缩包作为初始诱饵,绕过部分电子邮件安全网关或降低自动分析的成功率。压缩包中包含经过重写的BrockenDoor后门(已用C#重构)以及用Golang开发的ZeronetKit后门。 ZeronetKit功能模块化,可支持远程访问、文件上传下载、通过cmd.exe执行命令以及创建TCP/IPv4隧道。一些新版也加入了下载并运行shellcode的能力,并优化了与C2的通信间隔与服务器列表。因为ZeronetKit自身并不具备独立持久化机制,BO Team常结合BrockenDoor在系统启动项复制后门以实现长时驻留。基于工具语言选择与多语言实现,BO Team展示出对快速开发与跨平台运维的考量。
Bearlyfy的勒索与破坏行为分析 Bearlyfy是自2025年初被观察到的新兴攻击集团,使用过LockBit 3.0与Babuk等勒索软件家族,对俄罗斯境内公司展开募资型攻击。与传统高价值目标的大规模窃密不同,Bearlyfy在早期倾向于以较低赎金向小型企业或合作方发动攻击,通过打入生态链逐步升级目标规模。据F6研究,Bearlyfy对部分受害者提出过数千美元到数万欧元不等的赎金请求,约每五个被害者中就有一位会选择支付赎金以获得解密工具。 在部分事件中,攻击者利用Bitrix平台的已知漏洞作为初始访问手段,并在内部通过经典的Zerologon漏洞进行权限提升。另一案件则通过合作伙伴公司作为跳板实现进入。值得警惕的是,Bearlyfy在工具与基础设施上与被称为PhantomCore的团队存在一定的重叠,但目前分析认为其为独立运作的实体,采用了更轻量化、速攻型的攻击模型,目标是快速实现数据加密或破坏以获取即时收益。
综合威胁景观与受害者画像 将COLDRIVER、BO Team与Bearlyfy并置,可以看到同一地理或语境内的攻击活动呈现出多样化的威胁模型。COLDRIVER偏向情报搜集与长期隐蔽存在,受害者常为非营利、流亡团体与智库等与俄罗斯事务相关的民间与学术组织。BO Team似乎瞄准商业实体和企业生态链,依靠可复用的后门工具维持远控能力。Bearlyfy定位更倾向于金融化攻击与勒索,目标选择具有盈利潜力或可快速变现的数据资产。 这些威胁的共同点在于对漏洞利用、社会工程与链式持久化的依赖。使用受信任服务托管诱饵、采用密码压缩包规避扫描、存储加密负载于注册表、调用PowerShell执行阶段化代码等技术都表明攻击者在规避传统签名式防护与简单沙箱检测方面已有成熟经验。
检测要点与防御建议 针对ClickFix与类似感染载体,首先需要提升员工对假验证码页面、可疑运行对话框命令和来自不可信来源的下载链接的警觉性。电子邮件防护应加强对密码保护附件的检测策略并在可能时阻断或进行人工审查。应用白名单策略可显著降低通过运行对话框或脚本执行未知DLL的风险。 对PowerShell的监控与日志记录至关重要。启用深度命令行审计、模块加载事件记录以及ScriptBlock日志可帮助识别SIMPLEFIX等利用PowerShell进行阶段化加载的活动。集中化的SIEM/EDR能够在可疑的注册表写入、频繁的HTTP外联以及异常的持久化尝试出现时触发告警。
域名与基础设施层面的防御也不可忽视。captchanom[.]top与southprovesolutions[.]com等已被记录为攻击链中的C2或下载域名,应将其列入拦截名单并在边界设备上阻断。DNS日志分析可以帮助识别被感染主机尝试解析或连接已知恶意域的行为。 补丁管理与最小权限原则是防止BO Team或Bearlyfy利用Bitrix、Zerologon等已知漏洞横向移动与特权升级的根本措施。对供应链与合作伙伴访问进行更严格的控制、最小化外部服务的暴露及实施多因素认证均能显著降低被利用的概率。 响应与威胁情报共享 在发生可疑入侵时,及时隔离受感染主机并保留内存与持久化痕迹的取证数据对于追溯攻击链至关重要。
与厂商和行业CERT共享IOC(威胁指标)可以帮助更广泛地防护生态圈免于连锁感染。对于定期受攻击的组织,建立红蓝对抗演练以及模拟ClickFix类型钓鱼的训练计划能够提升人员识别与处置速度。 法律与道德考量 面对类似COLDRIVER这类可能涉及国家背景的APT组织,受害者在披露细节时应权衡法律与安全影响。公开IOC有助于社区防御,但也可能暴露尚未修补的弱点或线索被对手利用。与律师和情报团队合作,制定分级披露策略与应对计划,是成熟响应流程的一部分。 结论与展望 当前威胁态势表明,攻击者正在把低复杂度的社会工程与灵活的工具链相结合,以实现较高的成功率。
COLDRIVER通过BAITSWITCH与SIMPLEFIX的组合延续了ClickFix攻击的有效性,而BO Team与Bearlyfy则分别在长期间谍活动与快速勒索盈利方向上扩展手段。面对这类混合威胁,组织需要在技术、流程與人员培训上采取多层次防御。 未来几个月内,监测这些组织是否会调整攻击载荷、扩展C2基础设施或合并新的漏洞利用链路将是关键。安全团队应优先强化PowerShell与命令行审计、加固补丁与身份验证机制、提高钓鱼诱饵识别能力,并建立快速共享与响应机制。只有通过持续的威胁情报融合与防御实践,才能有效降低类似COLDRIVER、BO Team与Bearlyfy造成的风险并保护关键的民间组织与商业实体免受侵害。 。
