De Russische cyberspionagegroep COLDRIVER voegt de ClickFix-aanvalsmethode toe aan hun arsenaal. Het Zscaler ThreatLabz-team ontdekte twee nieuwe malwarefamilies, BAITSWITCH en SIMPLEFIX, waarmee de groep selectief malware verspreidt. Deze ontwikkeling toont aan dat geavanceerde dreigingsactoren zich blijven aanpassen aan nieuwe technieken om hun doelwitten te bereiken.
COLDRIVER, ook bekend als Star Blizzard, Callisto en UNC4057, staat bekend om gerichte aanvallen op ngo’s, denktanks, journalisten en mensenrechtenactivisten. De groep richtte zich voorheen hoofdzakelijk op phishing voor het stelen van inloggegevens. Zscaler ontdekte nu dat ze hun tactiek hebben uitgebreid met ClickFix-campagnes.
De aanvalsketen maakt gebruik van twee nieuwe lichtgewicht malwarefamilies. BAITSWITCH fungeert als downloader, terwijl SIMPLEFIX werkt als PowerShell-backdoor. De groep zet server-side controles in om op basis van user-agent en machinekenmerken te bepalen wie de schadelijke code krijgt. Deze selectieve aanpak maakt de aanvallen gerichter en moeilijker te detecteren.
Strategische doelwitten
“Op basis van ons onderzoek kunnen wij met hoge zekerheid vaststellen dat deze campagne is uitgevoerd door COLDRIVER, een door de Russische staat gesteunde dreigingsgroep”, aldus Sudeep Singh, Head of APT Research bij Zscaler ThreatLabz. De aanvallen richten zich op individuen met sterke connecties binnen organisaties die voor Rusland van strategisch belang zijn.
Door deze personen te compromitteren probeert de groep ook hun netwerken verder binnen te dringen via gerichte phishingcampagnes. Dit past in het bredere patroon van door staten gesponsorde cyberoperaties die specifieke sectoren en gemeenschappen targeten.
Bescherming tegen de aanvallen
Vanwege het sterke gebruik van misleiding en valse online identiteiten adviseert Singh organisaties de echtheid van contactpersonen altijd te verifiëren via betrouwbare, onafhankelijke kanalen. Daarnaast is het belangrijk om phishing-bestendige multifactorauthenticatie in te zetten, zoals FIDO2 of WebAuthn.
Basismaatregelen blijven effectief tegen dit soort dreigingen. Het afdwingen van least privilege-toegang en het gebruik van tools zoals Windows AppLocker of App Control om scripts en binaire bestanden te blokkeren helpen organisaties zich te verdedigen. Technologieën zoals Zscaler Browser Isolation kunnen klembordinteracties en gebruikersacties op niet-vertrouwde websites beperken, wat een extra beschermingslaag oplevert.