CORNFLAKE.V3 बैकडोर
ख़तरा पैदा करने वाले तत्व, क्लिकफ़िक्स नामक एक भ्रामक तकनीक का इस्तेमाल करके, एक परिष्कृत बैकडोर, कॉर्नफ़्लेक.V3, का प्रसार कर रहे हैं। इस गतिविधि पर नज़र रखने वाले सुरक्षा शोधकर्ताओं, जिन्हें UNC5518 नाम दिया गया है, ने इसे एक एक्सेस-एज़-ए-सर्विस ऑपरेशन से जोड़ा है, जिसमें नकली कैप्चा पेज पीड़ितों को दुर्भावनापूर्ण कमांड निष्पादित करने के लिए प्रेरित करते हैं। एक बार एक्सेस प्राप्त हो जाने के बाद, इसे फिर से बेच दिया जाता है या आगे के शोषण के लिए अन्य साइबर अपराधी समूहों के साथ साझा किया जाता है।
विषयसूची
हमला कैसे शुरू होता है
संक्रमण श्रृंखला अक्सर तब शुरू होती है जब उपयोगकर्ता SEO-विषाक्त खोज परिणामों या दुर्भावनापूर्ण विज्ञापनों के साथ इंटरैक्ट करते हैं। पीड़ितों को एक नकली CAPTCHA सत्यापन पृष्ठ पर पुनर्निर्देशित किया जाता है, जिसे क्लाउडफ्लेयर के टर्नस्टाइल या अन्य वैध सेवाओं जैसा दिखने के लिए डिज़ाइन किया गया है। यह मानते हुए कि वे एक सत्यापन चुनौती का समाधान कर रहे हैं, उपयोगकर्ताओं को एक दुर्भावनापूर्ण PowerShell स्क्रिप्ट को Windows Run डायलॉग बॉक्स में कॉपी और पेस्ट करने के लिए निर्देशित किया जाता है, जिससे हमलावरों को अपनी पकड़ मज़बूत हो जाती है।
ख़तरा अभिनेता की संलिप्तता
UNC5518 अभियानों से चुराई गई पहुंच का लाभ कम से कम दो अलग-अलग समूहों द्वारा उठाया गया है:
- UNC5774 - एक वित्तीय रूप से प्रेरित अभिनेता जो अतिरिक्त पेलोड तैनात करने के लिए कॉर्नफ्लेक प्रदान करता है।
- UNC4108 - अस्पष्ट उद्देश्यों वाला एक समूह, जिसे VOLTMARKER और NetSupport RAT जैसे मैलवेयर को छोड़ने के लिए PowerShell का उपयोग करते हुए देखा गया।
यह दर्शाता है कि किस प्रकार ClickFix विभिन्न प्रकार की दुर्भावनापूर्ण अनुवर्ती गतिविधियों के लिए प्रवेश द्वार के रूप में कार्य करता है।
कॉर्नफ्लेक.V3 के अंदर
CORNFLAKE.V3 बैकडोर जावास्क्रिप्ट और PHP दोनों रूपों में उपलब्ध है। इसे इस उद्देश्य से डिज़ाइन किया गया है:
- HTTP के माध्यम से विभिन्न पेलोड निष्पादित करें, जिसमें निष्पादनयोग्य फ़ाइलें, DLL, जावास्क्रिप्ट, बैच फ़ाइलें और PowerShell कमांड शामिल हैं।
- बुनियादी सिस्टम डेटा एकत्र करें और इसे छिपाने के लिए क्लाउडफ्लेयर सुरंगों के माध्यम से हमलावर-नियंत्रित सर्वर पर भेजें।
अपने पूर्ववर्ती V2 के विपरीत, जो केवल एक डाउनलोडर के रूप में कार्य करता था, V3 विंडोज़ रजिस्ट्री रन कुंजियों को संशोधित करके दृढ़ता लाता है और पेलोड की एक विस्तृत श्रृंखला का समर्थन करता है। इसके माध्यम से कम से कम तीन पेलोड वितरित किए गए हैं, जिनमें शामिल हैं:
- एक सक्रिय निर्देशिका टोही उपकरण
- क्रेडेंशियल चोरी के लिए एक केर्बेरोस्टिंग स्क्रिप्ट
WINDYTWIST.SEA, एक C-आधारित बैकडोर जिसमें रिवर्स शेल एक्सेस, TCP ट्रैफ़िक रिलेइंग और लेटरल मूवमेंट जैसी क्षमताएँ हैं
ClickFix खतरनाक क्यों है?
साइबर अपराधियों के बीच ClickFix पद्धति ने तेज़ी पकड़ी है क्योंकि यह मानवीय संपर्क पर काफ़ी हद तक निर्भर करती है। कई स्वचालित सुरक्षा उपकरणों को दरकिनार करते हुए, उपयोगकर्ताओं को स्वयं आदेश चलाने के लिए प्रेरित किया जाता है। सामान्य वितरण विधियों में शामिल हैं:
- फ़िशिंग ईमेल
- मैलवेयर विज्ञापन अभियान
- ड्राइव-बाय वेबसाइट से समझौता
विश्वसनीयता बढ़ाने के लिए, हमलावर अक्सर प्रसिद्ध ब्रांडों, क्लाउडफ्लेयर चेक या यहां तक कि डिस्कॉर्ड सर्वर सत्यापन का भी सहारा लेते हैं।
क्लिकफिक्स किट का व्यावसायीकरण
2024 के अंत से, ClickFix बिल्डर्स अंडरग्राउंड फ़ोरम पर दिखाई देने लगे हैं, जिन्हें 'Win + R' किट के नाम से बेचा जा रहा है। सुविधाओं के आधार पर, इनकी कीमतें आमतौर पर $200 से $1,500 प्रति माह तक होती हैं। सोर्स कोड, लैंडिंग पेज या कमांड-लाइन स्क्रिप्ट जैसे अलग-अलग घटक अक्सर $200-$500 में अलग-अलग बेचे जाते हैं।
कुछ उन्नत किट क्लिकफिक्स बिल्डर्स को अन्य मैलवेयर लोडर्स के साथ बंडल करते हैं और प्रदान करते हैं:
- विभिन्न आकर्षणों के साथ तैयार लैंडिंग पृष्ठ
- एंटीवायरस पहचान को बायपास करने की गारंटी वाले कमांड
- दृढ़ता और स्मार्टस्क्रीन से बचने के विकल्प
रक्षात्मक उपाय
ClickFix-आधारित संक्रमणों से निपटने के लिए, संगठनों को सक्रिय सुरक्षा उपाय अपनाने चाहिए। सुझाए गए कदम इस प्रकार हैं:
- जहां संभव हो, वहां विंडोज रन संवाद को प्रतिबंधित या अक्षम करना।
- उपयोगकर्ताओं को प्रशिक्षित करने के लिए नियमित रूप से फ़िशिंग और सोशल इंजीनियरिंग सिमुलेशन का आयोजन करना।
- असामान्य PowerShell या स्क्रिप्ट निष्पादन का शीघ्र पता लगाने के लिए मजबूत लॉगिंग और मॉनिटरिंग को क्रियान्वित करना।
रोकथाम और शीघ्र पहचान दोनों पर ध्यान केंद्रित करके, संगठन ClickFix और CORNFLAKE.V3 से जुड़े अभियानों से उत्पन्न जोखिम को काफी हद तक कम कर सकते हैं।
