CORNFLAKE.V3 ទ្វារខាងក្រោយ

តួអង្គគំរាមកំហែងកំពុងប្រើប្រាស់បច្ចេកទេសបោកបញ្ឆោតកាន់តែខ្លាំងឡើងដែលត្រូវបានគេស្គាល់ថា ClickFix ដើម្បីចែកចាយ backdoor ដ៏ទំនើបមួយ CORNFLAKE.V3 ។ អ្នកស្រាវជ្រាវផ្នែកសន្តិសុខដែលតាមដានសកម្មភាពដែលបានកំណត់ UNC5518 បានភ្ជាប់វាទៅនឹងប្រតិបត្តិការចូលប្រើជាសេវាកម្មដែលទំព័រ CAPTCHA ក្លែងក្លាយបោកបញ្ឆោតជនរងគ្រោះឱ្យប្រតិបត្តិពាក្យបញ្ជាព្យាបាទ។ នៅពេលដែលទទួលបានការចូលប្រើប្រាស់ វាត្រូវបានលក់បន្ត ឬចែករំលែកជាមួយក្រុមឧក្រិដ្ឋជនតាមអ៊ីនធឺណិតផ្សេងទៀតសម្រាប់ការកេងប្រវ័ញ្ចបន្ថែមទៀត។

របៀបដែលការវាយប្រហារចាប់ផ្តើម

ខ្សែសង្វាក់នៃការឆ្លងជារឿយៗចាប់ផ្តើមនៅពេលដែលអ្នកប្រើប្រាស់ធ្វើអន្តរកម្មជាមួយនឹងលទ្ធផលស្វែងរកដែលបំពុលដោយ SEO ឬការផ្សាយពាណិជ្ជកម្មដែលមានគំនិតអាក្រក់។ ជនរងគ្រោះត្រូវបានបញ្ជូនបន្តទៅកាន់ទំព័រផ្ទៀងផ្ទាត់ CAPTCHA ក្លែងក្លាយ ដែលត្រូវបានរចនាឡើងដើម្បីស្រដៀងនឹង Turnstile របស់ Cloudflare ឬសេវាកម្មស្របច្បាប់ផ្សេងទៀត។ ដោយជឿថាពួកគេកំពុងដោះស្រាយបញ្ហាប្រឈមក្នុងការផ្ទៀងផ្ទាត់ អ្នកប្រើប្រាស់ត្រូវបានណែនាំជំនួសវិញឱ្យចម្លង និងបិទភ្ជាប់ស្គ្រីប PowerShell ដែលមានគំនិតអាក្រក់ទៅក្នុងប្រអប់ Windows Run ដោយផ្តល់ឱ្យអ្នកវាយប្រហារនូវគោលជំហរដែលពួកគេត្រូវការ។

ការ​ចូល​រួម​នៃ​ការ​គំរាម​កំហែង

ការលួចចូលពីយុទ្ធនាការ UNC5518 ត្រូវបានប្រើប្រាស់ដោយក្រុមពីរផ្សេងគ្នា៖

• UNC5774 - តារាសម្តែងដែលលើកទឹកចិត្តផ្នែកហិរញ្ញវត្ថុដែលផ្តល់ CORNFLAKE ឱ្យដាក់ពង្រាយបន្ទុកបន្ថែម។
• UNC4108 - ក្រុមដែលមានការជម្រុញមិនច្បាស់លាស់ ត្រូវបានគេសង្កេតឃើញដោយប្រើ PowerShell ដើម្បីទម្លាក់មេរោគដូចជា VOLTMARKER និង NetSupport RAT ។

នេះបង្ហាញពីរបៀបដែល ClickFix ដើរតួជាច្រកផ្លូវសម្រាប់សកម្មភាពតាមដានដែលមានគំនិតអាក្រក់ជាច្រើន។

នៅខាងក្នុង CORNFLAKE.V3

Backdoor CORNFLAKE.V3 មានទាំង JavaScript និង PHP វ៉ារ្យ៉ង់។ វាត្រូវបានរចនាឡើងដើម្បី៖

• ប្រតិបត្តិបន្ទុកផ្សេងៗគ្នាតាមរយៈ HTTP រួមទាំងការប្រតិបត្តិ DLLs JavaScript ឯកសារបាច់ និងពាក្យបញ្ជា PowerShell ។
• ប្រមូលទិន្នន័យប្រព័ន្ធមូលដ្ឋាន ហើយផ្ញើវាទៅម៉ាស៊ីនមេដែលគ្រប់គ្រងដោយអ្នកវាយប្រហារតាមរយៈផ្លូវរូងក្រោមដី Cloudflare សម្រាប់ការលាក់បាំង។

មិនដូចអ្នកកាន់តំណែងមុន V2 ដែលមានមុខងារត្រឹមតែជាអ្នកទាញយកទេ V3 ណែនាំការតស៊ូដោយការកែប្រែ Windows Registry Run keys និងគាំទ្រជួរធំទូលាយនៃ payloads ។ យ៉ាងហោចណាស់បន្ទុកចំនួនបីត្រូវបានចែកចាយតាមរយៈវា រួមមាន:

• ឧបករណ៍ឈ្លបយកការណ៍ Active Directory
• ស្គ្រីប Kerberoasting សម្រាប់ការលួចព័ត៌មានសម្ងាត់

WINDYTWIST.SEA ដែលជា backdoor ផ្អែកលើ C ដែលមានសមត្ថភាពដូចជាការចូលប្រើសែលបញ្ច្រាស ការបញ្ជូនតចរាចរណ៍ TCP និងចលនានៅពេលក្រោយ

ហេតុអ្វីបានជា ClickFix មានគ្រោះថ្នាក់

វិធីសាស្ត្រ ClickFix ទទួលបានសន្ទុះក្នុងរង្វង់ឧក្រិដ្ឋកម្មតាមអ៊ីនធឺណិត ព្រោះវាពឹងផ្អែកខ្លាំងលើអន្តរកម្មរបស់មនុស្ស។ អ្នក​ប្រើ​ត្រូវ​បាន​រៀបចំ​ក្នុង​ការ​រត់​ពាក្យ​បញ្ជា​ដោយ​ខ្លួន​ឯង ដោយ​រំលង​ឧបករណ៍​សុវត្ថិភាព​ស្វ័យប្រវត្តិ​ជា​ច្រើន​។ វ៉ិចទ័រចែកចាយទូទៅរួមមាន:

• អ៊ីមែលបន្លំ
• យុទ្ធនាការផ្សព្វផ្សាយពាណិជ្ជកម្ម
• ការសម្របសម្រួលគេហទំព័រដោយជំរុញ

ដើម្បីបង្កើនភាពជឿជាក់ អ្នកវាយប្រហារតែងតែក្លែងបន្លំម៉ាកល្បី ការត្រួតពិនិត្យ Cloudflare ឬសូម្បីតែការផ្ទៀងផ្ទាត់ម៉ាស៊ីនមេ Discord ។

ការធ្វើពាណិជ្ជកម្មនៃ ClickFix Kits

ចាប់តាំងពីចុងឆ្នាំ 2024 អ្នកសាងសង់ ClickFix បានបង្ហាញខ្លួននៅលើវេទិការក្រោមដី ដែលដាក់លក់ជាកញ្ចប់ 'Win + R' ។ តម្លៃជាធម្មតាមានចាប់ពី $200 ទៅ $1,500 ក្នុងមួយខែ អាស្រ័យលើលក្ខណៈពិសេស។ សមាសភាគបុគ្គល ដូចជាកូដប្រភព ទំព័រចុះចត ឬស្គ្រីបបន្ទាត់ពាក្យបញ្ជា ជារឿយៗត្រូវបានលក់ដាច់ដោយឡែកក្នុងតម្លៃ 200 ដុល្លារដល់ 500 ដុល្លារ។

កញ្ចប់ឧបករណ៍កម្រិតខ្ពស់មួយចំនួនបានប្រមូលផ្តុំអ្នកបង្កើត ClickFix ជាមួយនឹងកម្មវិធីផ្ទុកមេរោគផ្សេងទៀត និងការផ្តល់ជូន៖

• ទំព័រចុះចតដែលផលិតរួចរាល់ជាមួយនឹងការទាក់ទាញផ្សេងៗគ្នា
• ពាក្យបញ្ជាត្រូវបានធានាដើម្បីឆ្លងកាត់ការរកឃើញកំចាត់មេរោគ
• ជម្រើសសម្រាប់ការបន្ត និងការគេចពី SmartScreen

វិធានការការពារ

ដើម្បីប្រឆាំងនឹងការឆ្លងដែលមានមូលដ្ឋានលើ ClickFix អង្គការគួរតែទទួលយកការការពារសកម្ម។ ជំហានដែលបានណែនាំរួមមាន:

• ការដាក់កម្រិត ឬបិទប្រអប់ដំណើរការ Windows ដែលជាកន្លែងដែលអាចធ្វើទៅបាន។
• អនុវត្តការក្លែងបន្លំជាប្រចាំ និងការក្លែងធ្វើវិស្វកម្មសង្គម ដើម្បីបណ្តុះបណ្តាលអ្នកប្រើប្រាស់។
• ការអនុវត្តការកត់ត្រា និងការត្រួតពិនិត្យដ៏រឹងមាំ ដើម្បីស្វែងរកដំណើរការ PowerShell ឬស្គ្រីបមិនធម្មតាយ៉ាងឆាប់រហ័ស។

ដោយផ្តោតលើទាំងការការពារ និងការរកឃើញដំបូង អង្គការអាចកាត់បន្ថយហានិភ័យយ៉ាងខ្លាំងដែលបង្កឡើងដោយយុទ្ធនាការដែលពាក់ព័ន្ធនឹង ClickFix និង CORNFLAKE.V3។