CORNFLAKE.V3 Tagauks
Ohtlikud tegutsejad kasutavad üha enam petlikku tehnikat, mida tuntakse ClickFixina, keeruka tagaukse CORNFLAKE.V3 levitamiseks. Turvauurijad, kes jälgivad tegevust, millel on UNC5518 tunnuskood, on selle seostanud juurdepääsuteenusega, kus võltsitud CAPTCHA lehed meelitavad ohvreid pahatahtlikke käske täitma. Kui juurdepääs on saadud, müüakse see edasi või jagatakse teiste küberkurjategijate rühmitustega edasiseks ärakasutamiseks.
Sisukord
Kuidas rünnak algab
Nakatumise ahel algab sageli siis, kui kasutajad suhtlevad SEO-ga saastunud otsingutulemuste või pahatahtlike reklaamidega. Ohvrid suunatakse võltsitud CAPTCHA kinnituslehele, mis on loodud meenutama Cloudflare'i Turnstile'i või muid legitiimseid teenuseid. Uskudes, et nad lahendavad kinnitusprobleemi, suunatakse kasutajad hoopis pahatahtliku PowerShelli skripti kopeerima ja kleepima Windowsi käivitamisdialoogi, andes ründajatele vajaliku tugipunkti.
Ohu tekitaja kaasamine
UNC5518 kampaaniate kaudu varastatud juurdepääsu on ära kasutanud vähemalt kaks erinevat rühmitust:
- UNC5774 – rahaliselt motiveeritud osaleja, kes toimetab CORNFLAKE'i kohale täiendavate kasulike koormuste juurutamiseks.
- UNC4108 – ebaselgete motiividega rühmitus, keda täheldati PowerShelli kasutamisel pahavara, näiteks VOLTMARKERi ja NetSupport RATi levitamiseks.
See näitab, kuidas ClickFix toimib väravana mitmesugustele pahatahtlikele järeltegevustele.
Cornflake.V3 sees
CORNFLAKE.V3 tagauks eksisteerib nii JavaScripti kui ka PHP variandina. See on loodud järgmiselt:
- Käivitage HTTP kaudu erinevaid kasulikke koormusi, sealhulgas käivitatavaid faile, DLL-e, JavaScripti, pakkfaile ja PowerShelli käske.
- Koguge põhilisi süsteemiandmeid ja saatke need ründaja kontrollitavale serverile Cloudflare'i tunnelite kaudu varjamiseks.
Erinevalt oma eelkäijast V2, mis toimis ainult allalaadijana, pakub V3 püsivust Windowsi registri käivitusvõtmete muutmise kaudu ja toetab laiemat hulka kasulikke koormusi. Selle kaudu on levitatud vähemalt kolme kasulikku koormust, sealhulgas:
- Active Directory luuretööriist
- Kerberoasting-skript volituste varguse jaoks
WINDYTWIST.SEA, C-põhine tagauks selliste võimalustega nagu pöördjuurdepääs kestale, TCP liikluse edastamine ja külgmine liikumine
Miks ClickFix on ohtlik?
ClickFixi meetod on küberkurjategijate ringkondades hoogu kogunud, kuna see tugineb suuresti inimlikule suhtlusele. Kasutajaid manipuleeritakse ise käske käivitama, möödudes paljudest automatiseeritud turvatööriistadest. Levinud edastusvektorid on järgmised:
- Õngitsuskirjad
- Pahatahtliku reklaami kampaaniad
- Drive-by veebisaidi kompromiteerimised
Usaldusväärsuse suurendamiseks jäljendavad ründajad sageli tuntud kaubamärke, Cloudflare'i kontrolle või isegi Discordi serveri verifitseerimisi.
ClickFix komplektide turustamine
Alates 2024. aasta lõpust on ClickFixi ehitustööriistad ilmunud põrandaalustes foorumites, mida turustatakse kui „Win + R” komplekte. Hinnad jäävad tavaliselt vahemikku 200–1500 dollarit kuus, olenevalt funktsioonidest. Üksikuid komponente, näiteks lähtekoodi, maandumislehti või käsurea skripte, müüakse sageli eraldi hinnaga 200–500 dollarit.
Mõned täiustatud komplektid ühendavad ClickFixi koostajad teiste pahavaralaaduritega ja pakuvad:
- Valmis maandumislehed erinevate peibutistega
- Käsklused, mis garanteerivad viirusetõrje tuvastamise möödahiilimise
- Püsivuse ja SmartScreeni vältimise valikud
Kaitsemeetmed
ClickFixi-põhiste nakkuste vastu võitlemiseks peaksid organisatsioonid võtma kasutusele ennetavad kaitsemeetmed. Soovitatavad sammud on järgmised:
- Windowsi käivitamisdialoogi piiramine või keelamine võimaluse korral.
- Kasutajate koolitamiseks regulaarsete andmepüügi ja sotsiaalse manipuleerimise simulatsioonide läbiviimine.
- Tugeva logimise ja jälgimise rakendamine ebatavaliste PowerShelli või skriptide käivitamiste kiireks tuvastamiseks.
Keskendudes nii ennetamisele kui ka varajasele avastamisele, saavad organisatsioonid oluliselt vähendada ClickFixi ja CORNFLAKE.V3 hõlmavate kampaaniatega kaasnevat riski.
