Monen lisenssin alennustarjous
Uhatietokanta Haittaohjelma MAISSIHIUTALEET.V3 Takaovi

MAISSIHIUTALEET.V3 Takaovi

Vuonna Mezo vuonna Haittaohjelma, Advanced Persistent Threat (APT), Takaovet
Käännä:

Uhkatoimijat hyödyntävät yhä enemmän ClickFix-nimistä harhaanjohtavaa tekniikkaa levittääkseen hienostunutta CORNFLAKE.V3-takaporttia. Tietoturvatutkijat, jotka seuraavat UNC5518-nimistä toimintaa, ovat yhdistäneet sen access-as-a-service-operaatioon, jossa väärennetyt CAPTCHA-sivut huijaavat uhreja suorittamaan haitallisia komentoja. Kun käyttöoikeus on saatu, se myydään edelleen tai jaetaan muiden kyberrikollisryhmien kanssa jatkohyödynnettäväksi.

Miten hyökkäys alkaa

Tartuntaketju alkaa usein, kun käyttäjät ovat vuorovaikutuksessa hakukoneoptimoinnin saastuttamien hakutulosten tai haitallisten mainosten kanssa. Uhrit ohjataan väärennetylle CAPTCHA-vahvistussivulle, joka on suunniteltu muistuttamaan Cloudflaren Turnstileä tai muita laillisia palveluita. Käyttäjät uskovat ratkaisevansa vahvistushaasteen ja heitä ohjataan sen sijaan kopioimaan ja liittämään haitallinen PowerShell-skripti Windowsin Suorita-valintaikkunaan, mikä antaa hyökkääjille tarvitsemansa jalansijan.

Uhkatoimijan osallistuminen

Ainakin kaksi erillistä ryhmää on hyödyntänyt UNC5518-kampanjoista varastettua pääsyä:

  • UNC5774 – taloudellisesti motivoitunut toimija, joka toimittaa CORNFLAKE-alusta lisähyötykuormien käyttöönottoa varten.
  • UNC4108 – epäselvien motiivien omaava ryhmä, jonka havaittiin käyttävän PowerShelliä haittaohjelmien, kuten VOLTMARKERin ja NetSupport RATin, levittämiseen.

Tämä osoittaa, kuinka ClickFix toimii porttina erilaisille haitallisille jatkotoimille.

Sisällä CORNFLAKE.V3

CORNFLAKE.V3-takaovi on olemassa sekä JavaScript- että PHP-muunnelmina. Se on suunniteltu:

  • Suorita erilaisia hyötykuormia HTTP:n kautta, mukaan lukien suoritettavia tiedostoja, DLL-tiedostoja, JavaScriptiä, eräajotiedostoja ja PowerShell-komentoja.
  • Kerää perusjärjestelmän tietoja ja lähetä ne hyökkääjän hallitsemalle palvelimelle Cloudflare-tunneleiden kautta piilottamista varten.

Toisin kuin edeltäjänsä V2, joka toimi vain lataajana, V3 tuo mukanaan pysyvyyden muokkaamalla Windowsin rekisterin suoritusavaimia ja tukee laajempaa valikoimaa hyötykuormia. Sen kautta on jaettu ainakin kolme hyötykuormia, mukaan lukien:

  • Active Directory -tiedustelutyökalu
  • Kerberoasting-skripti tunnistetietojen varastamiseen

WINDYTWIST.SEA, C-pohjainen takaovi, jolla on ominaisuuksia, kuten käänteinen shell-käyttö, TCP-liikenteen välitys ja sivuttaisliike

Miksi ClickFix on vaarallinen

ClickFix-menetelmä on saavuttanut suosiota kyberrikollispiireissä, koska se perustuu vahvasti ihmisen vuorovaikutukseen. Käyttäjiä manipuloidaan suorittamaan komentoja itse, ohittaen monia automatisoituja tietoturvatyökaluja. Yleisiä toimitusvektoreita ovat:

  • Tietojenkalasteluviestit
  • Haittamainontakampanjat
  • Drive-by-verkkosivustojen vaarantumiset

Uskottavuuden lisäämiseksi hyökkääjät usein esiintyvät tunnettuina tuotemerkkeinä, Cloudflare-tarkistuksissa tai jopa Discord-palvelinten varmenteissa.

ClickFix-sarjojen kaupallistaminen

Vuoden 2024 lopusta lähtien ClickFix-kehittäjiä on esiintynyt maanalaisilla foorumeilla, ja niitä markkinoidaan 'Win + R' -paketteina. Hinnat vaihtelevat tyypillisesti 200–1 500 dollarin välillä kuukaudessa ominaisuuksista riippuen. Yksittäisiä komponentteja, kuten lähdekoodia, aloitussivuja tai komentoriviskriptejä, myydään usein erikseen hintaan 200–500 dollaria.

Jotkin edistyneet paketit yhdistävät ClickFix-kehittäjiä muihin haittaohjelmien latausohjelmiin ja tarjoavat:

  • Valmiita laskeutumissivuja erilaisilla vieheillä
  • Komennot, jotka takaavat virustorjuntaohjelmien havaitsemisen ohittamisen
  • Pysyvyys- ja SmartScreen-väistöasetukset

Puolustustoimenpiteet

ClickFix-pohjaisten tartuntojen torjumiseksi organisaatioiden tulisi ottaa käyttöön ennakoivia puolustuskeinoja. Suositeltuja toimenpiteitä ovat:

  • Windowsin Suorita-valintaikkunan rajoittaminen tai poistaminen käytöstä mahdollisuuksien mukaan.
  • Suoritamme säännöllisiä tietojenkalastelu- ja sosiaalisen manipuloinnin simulaatioita käyttäjien kouluttamiseksi.
  • Vankan lokikirjauksen ja valvonnan toteuttaminen epätavallisten PowerShell- tai komentosarjojen suoritusten nopeaan havaitsemiseen.

Keskittymällä sekä ennaltaehkäisyyn että varhaiseen havaitsemiseen organisaatiot voivat merkittävästi vähentää ClickFixin ja CORNFLAKE.V3:n sisältävien kampanjoiden aiheuttamaa riskiä.

Trendaavat

Eniten katsottu

Ladataan...