다중 라이센스 할인 견적
위협 데이터베이스 멀웨어 CORNFLAKE.V3 Backdoor

CORNFLAKE.V3 Backdoor

멀웨어, 지능형 지속 위협(APT), 백도어년에 Mezo 년까지
번역 :

위협 행위자들은 CORNFLAKE.V3라는 정교한 백도어를 배포하기 위해 ClickFix라는 기만적인 기법을 점점 더 많이 악용하고 있습니다. UNC5518로 명명된 이 활동을 추적하는 보안 연구원들은 이 활동이 가짜 CAPTCHA 페이지를 통해 피해자를 속여 악성 명령을 실행하도록 유도하는 서비스형 접근(AaaS) 공격과 연관되어 있다고 밝혔습니다. 접근 권한을 획득하면, 이 접근 권한은 재판매되거나 다른 사이버 범죄 조직에 공유되어 추가적인 악용을 꾀합니다.

공격이 시작되는 방법

감염 사슬은 사용자가 SEO에 악용된 검색 결과나 악성 광고에 접속할 때 시작되는 경우가 많습니다. 피해자는 Cloudflare의 Turnstile이나 다른 합법적인 서비스와 유사하게 설계된 가짜 CAPTCHA 인증 페이지로 리디렉션됩니다. 사용자는 인증 문제를 해결하고 있다고 착각하고, 대신 악성 PowerShell 스크립트를 Windows 실행 대화 상자에 복사하여 붙여넣도록 유도되어 공격자에게 필요한 발판을 마련합니다.

위협 행위자 참여

UNC5518 캠페인에서 도난당한 액세스는 최소한 두 개의 서로 다른 그룹에 의해 악용되었습니다.

  • UNC5774 – 추가 탑재물을 배치하기 위해 CORNFLAKE를 배달하는 재정적 동기를 가진 행위자.
  • UNC4108 – 동기가 불분명한 그룹으로, PowerShell을 사용하여 VOLTMARKER 및 NetSupport RAT와 같은 맬웨어를 유포하는 것으로 관찰되었습니다.

이는 ClickFix가 다양한 악의적인 후속 활동의 관문 역할을 하는 방식을 보여줍니다.

CORNFAKE.V3 내부

CORNFLAKE.V3 백도어는 JavaScript와 PHP 버전 모두에 존재합니다. 이 백도어는 다음과 같은 목적으로 설계되었습니다.

  • 실행 파일, DLL, JavaScript, 배치 파일, PowerShell 명령을 포함한 다양한 페이로드를 HTTP를 통해 실행합니다.
  • 기본 시스템 데이터를 수집하여 Cloudflare 터널을 통해 공격자가 제어하는 서버로 전송하여 은폐합니다.

다운로더로만 작동했던 이전 버전 V2와 달리, V3는 Windows 레지스트리 실행 키를 수정하여 지속성을 도입하고 더 광범위한 페이로드를 지원합니다. 다음을 포함하여 최소 세 가지 페이로드가 V3를 통해 배포되었습니다.

  • Active Directory 정찰 도구
  • 자격 증명 도용을 위한 Kerberoasting 스크립트

WINDYTWIST.SEA는 역방향 셸 액세스, TCP 트래픽 릴레이, 측면 이동 등의 기능을 갖춘 C 기반 백도어입니다.

ClickFix가 위험한 이유

ClickFix 수법은 인간 상호작용에 크게 의존하기 때문에 사이버 범죄 집단에서 큰 인기를 얻고 있습니다. 사용자는 여러 자동화된 보안 도구를 우회하여 직접 명령을 실행하도록 유도됩니다. 일반적인 유포 경로는 다음과 같습니다.

  • 피싱 이메일
  • 악성 광고 캠페인
  • 드라이브바이 웹사이트 손상

신뢰도를 높이기 위해 공격자는 종종 유명 브랜드, Cloudflare 검사, 심지어 Discord 서버 검증을 사칭합니다.

ClickFix 키트의 상용화

2024년 말부터 ClickFix 빌더가 'Win + R' 키트라는 이름으로 언더그라운드 포럼에 등장했습니다. 가격은 기능에 따라 일반적으로 월 200달러에서 1,500달러 사이입니다. 소스 코드, 랜딩 페이지, 명령줄 스크립트와 같은 개별 구성 요소는 일반적으로 200달러에서 500달러에 별도로 판매됩니다.

일부 고급 키트는 ClickFix 빌더와 다른 맬웨어 로더를 함께 묶어 다음을 제공합니다.

  • 다양한 미끼를 활용한 기성 랜딩 페이지
  • 바이러스 백신 탐지를 우회하는 명령
  • 지속성 및 SmartScreen 회피 옵션

방어 조치

ClickFix 기반 감염에 대응하려면 조직에서 선제적 방어 체계를 도입해야 합니다. 권장 조치는 다음과 같습니다.

  • 가능한 경우 Windows 실행 대화 상자를 제한하거나 비활성화합니다.
  • 정기적으로 피싱 및 소셜 엔지니어링 시뮬레이션을 실시하여 사용자를 교육합니다.
  • 비정상적인 PowerShell 또는 스크립트 실행을 빠르게 감지하기 위해 강력한 로깅 및 모니터링을 구현합니다.

예방과 조기 감지에 중점을 둠으로써 조직은 ClickFix 및 CORNFLAKE.V3와 관련된 캠페인으로 인해 발생하는 위험을 크게 줄일 수 있습니다.

트렌드

Brobitte.co.in

불량 웹사이트, 애드웨어, 브라우저 하이재커
디지털 위협이 더욱 교묘해짐에 따라, 사용자는 웹 서핑 시 항상 경계하고 주의를 기울이는 것이 매우 중요합니다. 악의적인 행위자들은 부주의한 사용자를 악용하기 위해 설계된 악성 웹사이트를 끊임없이 만들어냅니다. 이러한 사례 중 하나는 사이버 보안 연구원들이 불법적인 리디렉션 계획과 브라우저 알림 악용에 연루된 것으로 지적한 의심스러운 도메인인...

가장 많이 본

'프린터 드라이버를 사용할 수 없음'오류를 수정하는 방법

문제
58,354
프린터는 사용자가 가장 필요로 할 때마다 작업을 거부하는 것으로 유명합니다. 다행히 프린터에 프린터 드라이버를 사용할 수 없음' 오류가 표시되는 경우 문제를 해결할 수 있는 몇 가지 쉬운 솔루션이 있습니다. 이 특정 오류는 손상된 드라이버 파일, 오래된 드라이버 또는 드라이버 비호환성으로 인해 발생할 수 있습니다. Microsoft의 일반 드라이버를...
화면을 공유 할 때 Discord에 검은 색 화면이 표시됨 스크린샷

화면을 공유 할 때 Discord에 검은 색 화면이 표시됨

문제
44,467
처음 출시되었을 때 Discord는 게임 커뮤니티를 위한 VoIP 플랫폼이었습니다. 그러나 그 후 몇 년 동안 범위를 확장하고 수많은 새로운 기능을 추가했으며 월간 활성 사용자가 1억 4천만 명이 넘는 가장 큰 소셜 플랫폼 중 하나가 되었습니다. 현재 사용자는 개인 인스턴트 메시지를 보내고, VoIP 및 화상 통화를 시작하고, 컴퓨터 화면을...

Discord가 회색 화면에 멈춤

문제
44,234
때때로 Discord 응용 프로그램을 사용하는 동안 사용자가 회색 화면에서 멈출 수 있습니다. 스트리밍 또는 단순히 응용 프로그램을 로드하는 동안 문제가 발생할 수 있습니다. 이 문제가 발생하고 해결 방법이 궁금하다면 다음 해결 방법을 시도해 보십시오. 화면 모드 간 전환 원인이 시각적 결함이고 더 심각한 것이 아닌 경우 전체 화면 모드 또는 더 작은...
로드 중...