CORNFLAKE.V3 Užpakalinės durys
Grėsmių veikėjai vis dažniau naudoja apgaulingą techniką, vadinamą „ClickFix“, kad platintų sudėtingą užpakalinių durų funkciją „CORNFLAKE.V3“. Saugumo tyrėjai, stebintys šią veiklą, pažymėtą UNC5518, susiejo ją su prieigos kaip paslaugos operacija, kai netikri CAPTCHA puslapiai apgauna aukas, kad jos vykdytų kenkėjiškas komandas. Gavus prieigą, ji perparduodama arba bendrinama su kitomis kibernetinių nusikaltėlių grupuotėmis tolesniam išnaudojimui.
Turinys
Kaip prasideda ataka
Užkrėtimo grandinė dažnai prasideda, kai vartotojai sąveikauja su SEO užterštais paieškos rezultatais arba kenkėjiškomis reklamomis. Aukos nukreipiamos į netikrą CAPTCHA patvirtinimo puslapį, sukurtą panašiai kaip „Cloudflare“ „Turnstile“ ar kitos teisėtos paslaugos. Manydami, kad jie sprendžia patvirtinimo uždavinį, vartotojai raginami nukopijuoti kenkėjišką „PowerShell“ scenarijų ir įklijuoti jį į „Windows“ vykdymo dialogo langą, taip suteikiant užpuolikams reikiamą atramos tašką.
Grėsmės veikėjo dalyvavimas
Pavogtą prieigą iš UNC5518 kampanijų panaudojo bent dvi skirtingos grupės:
- UNC5774 – finansiškai motyvuotas veikėjas, pristatantis CORNFLAKE, kad būtų galima dislokuoti papildomus naudinguosius krovinius.
- UNC4108 – neaiškių motyvų grupuotė, naudojusi „PowerShell“ kenkėjiškoms programoms, tokioms kaip „VOLTMARKER“ ir „NetSupport RAT“, platinti.
Tai parodo, kaip „ClickFix“ veikia kaip vartai įvairiems kenkėjiškiems tolesniems veiksmams.
Kukurūzų dribsnių viduje.V3
CORNFLAKE.V3 galinis durų elementas egzistuoja tiek „JavaScript“, tiek PHP variantuose. Jis skirtas:
- Vykdykite skirtingus naudinguosius paketus per HTTP, įskaitant vykdomuosius failus, DLL, „JavaScript“, paketinius failus ir „PowerShell“ komandas.
- Surinkite pagrindinius sistemos duomenis ir nusiųskite juos užpuoliko kontroliuojamam serveriui per „Cloudflare“ tunelius, kad juos paslėptumėte.
Skirtingai nuo savo pirmtako V2, kuris veikė tik kaip atsisiuntimo programa, V3 įdiegia duomenų saugojimo funkciją modifikuodamas „Windows“ registro vykdymo raktus ir palaiko platesnį naudingųjų apkrovų spektrą. Per ją buvo platinami bent trys naudingosios apkrovos, įskaitant:
- „Active Directory“ žvalgybos įrankis
- Kerberoasting scenarijus kredencialų vagystei
WINDYTWIST.SEA – C pagrindu veikianti galinių durų priemonė su tokiomis funkcijomis kaip atvirkštinė prieiga prie apvalkalo, TCP srauto perdavimas ir šoninis judėjimas.
Kodėl „ClickFix“ yra pavojingas
„ClickFix“ metodas išpopuliarėjo kibernetinių nusikaltėlių sluoksniuose, nes jis labai priklauso nuo žmogaus sąveikos. Vartotojai manipuliuojami, kad patys vykdytų komandas, apeinant daugelį automatizuotų saugumo įrankių. Įprasti perdavimo vektoriai:
- Sukčiavimo el. laiškai
- Kenkėjiškos reklamos kampanijos
- „Drive-by“ svetainių kompromitacijos
Siekdami padidinti patikimumą, užpuolikai dažnai apsimetinėja žinomais prekių ženklais, „Cloudflare“ patikrinimais ar net „Discord“ serverio patvirtinimais.
„ClickFix“ rinkinių komercializavimas
Nuo 2024 m. pabaigos „ClickFix“ kūrimo įrankiai pasirodė pogrindiniuose forumuose, reklamuojami kaip „Win + R“ rinkiniai. Kainos paprastai svyruoja nuo 200 iki 1500 USD per mėnesį, priklausomai nuo funkcijų. Atskiri komponentai, pvz., šaltinio kodas, nukreipimo puslapiai ar komandinės eilutės scenarijai, dažnai parduodami atskirai už 200–500 USD.
Kai kurie išplėstiniai rinkiniai sujungia „ClickFix“ kūrimo programas su kitais kenkėjiškų programų įkėlimo įrankiais ir siūlo:
- Paruošti nukreipimo puslapiai su skirtingais masalais
- Komandos, garantuotos apeinant antivirusinių programų aptikimą
- Nuolatinio išsaugojimo ir „SmartScreen“ vengimo parinktys
Gynybinės priemonės
Siekdamos kovoti su „ClickFix“ sukeltomis infekcijomis, organizacijos turėtų imtis aktyvių apsaugos priemonių. Rekomenduojami veiksmai:
- Jei įmanoma, apribokite arba išjunkite „Windows“ dialogo langą „Vykdyti“.
- Reguliariai atlikti sukčiavimo apsimetant ir socialinės inžinerijos simuliacijas, siekiant apmokyti naudotojus.
- Įdiegus patikimą registravimą ir stebėjimą, siekiant greitai aptikti neįprastus „PowerShell“ arba scenarijų vykdymus.
Sutelkdamos dėmesį tiek į prevenciją, tiek į ankstyvą aptikimą, organizacijos gali gerokai sumažinti kampanijų, kuriose dalyvauja „ClickFix“ ir „CORNFLAKE.V3“, keliamą riziką.
