CORNFLAKE.V3 aizmugurējā durvis
Draudu izpildītāji arvien biežāk izmanto maldinošu metodi, kas pazīstama kā ClickFix, lai izplatītu sarežģītu aizmugurējo durvju rīku CORNFLAKE.V3. Drošības pētnieki, kas izseko šo darbību, kas apzīmēta ar UNC5518, ir saistījuši to ar piekļuves kā pakalpojuma operāciju, kurā viltotas CAPTCHA lapas maldina upurus, liekot tiem izpildīt ļaunprātīgas komandas. Kad piekļuve ir iegūta, tā tiek pārdota tālāk vai koplietota ar citām kibernoziedznieku grupām tālākai izmantošanai.
Satura rādītājs
Kā sākas uzbrukums
Infekcijas ķēde bieži sākas, kad lietotāji mijiedarbojas ar SEO bojātiem meklēšanas rezultātiem vai ļaunprātīgām reklāmām. Upuri tiek novirzīti uz viltotu CAPTCHA verifikācijas lapu, kas veidota līdzīgi Cloudflare Turnstile vai citiem likumīgiem pakalpojumiem. Uzskatot, ka viņi risina verifikācijas problēmu, lietotājiem tā vietā tiek piedāvāts kopēt un ielīmēt ļaunprātīgu PowerShell skriptu Windows palaišanas dialoglodziņā, dodot uzbrucējiem nepieciešamo atbalstu.
Draudu izpildītāja iesaistīšanās
No UNC5518 kampaņām nozagto piekļuvi ir izmantojušas vismaz divas atšķirīgas grupas:
- UNC5774 — finansiāli motivēts dalībnieks, kas piegādā CORNFLAKE, lai izvietotu papildu derīgo kravu.
- UNC4108 — grupa ar neskaidriem motīviem, kas novērota, izmantojot PowerShell, lai izplatītu ļaunprogrammatūru, piemēram, VOLTMARKER un NetSupport RAT.
Tas parāda, kā ClickFix kalpo kā vārteja dažādām ļaunprātīgām turpmākām darbībām.
Kukurūzas pārslu iekšpusē.V3
CORNFLAKE.V3 aizmugurējā durvju daļa pastāv gan JavaScript, gan PHP variantos. Tā ir izstrādāta, lai:
- Izpildīt dažādas vērtuma slodzes, izmantojot HTTP, tostarp izpildāmos failus, DLL, JavaScript, pakešfailus un PowerShell komandas.
- Apkopojiet sistēmas pamatdatus un nosūtiet tos uzbrucēja kontrolētam serverim, izmantojot Cloudflare tuneļus, lai tos slēptu.
Atšķirībā no sava priekšgājēja V2, kas darbojās tikai kā lejupielādētājs, V3 ievieš noturību, modificējot Windows reģistra palaišanas atslēgas, un atbalsta plašāku vērtumu klāstu. Ar tā starpniecību ir izplatīti vismaz trīs vērtumi, tostarp:
- Active Directory izlūkošanas rīks
- Kerberoasting skripts akreditācijas datu zādzībai
WINDYTWIST.SEA, uz C bāzes veidota aizmugurējā durvis ar tādām iespējām kā apgrieztā piekļuve apvalkam, TCP datplūsmas pārsūtīšana un sānu kustība
Kāpēc ClickFix ir bīstams
ClickFix metode ir ieguvusi popularitāti kibernoziedznieku aprindās, jo tā lielā mērā balstās uz cilvēka mijiedarbību. Lietotāji tiek manipulēti, lai paši izpildītu komandas, apejot daudzus automatizētus drošības rīkus. Bieži sastopamie piegādes vektori ir šādi:
- Pikšķerēšanas e-pasti
- Ļaunprātīgas reklāmas kampaņas
- Drive-by tīmekļa vietņu kompromitēšana
Lai palielinātu ticamību, uzbrucēji bieži uzdodas par labi pazīstamiem zīmoliem, Cloudflare pārbaudēm vai pat Discord servera verifikācijām.
ClickFix komplektu komercializācija
Kopš 2024. gada beigām ClickFix veidotāji ir parādījušies pagrīdes forumos, reklamējot tos kā “Win + R” komplektus. Cenas parasti svārstās no 200 līdz 1500 ASV dolāriem mēnesī atkarībā no funkcijām. Atsevišķi komponenti, piemēram, pirmkods, galvenās lapas vai komandrindas skripti, bieži tiek pārdoti atsevišķi par 200–500 ASV dolāriem.
Daži uzlaboti komplekti apvieno ClickFix veidotājus ar citiem ļaunprogrammatūras ielādētājiem un piedāvā:
- Gatavas nolaišanās lapas ar dažādiem ēsmām
- Komandas garantēti apiet pretvīrusu noteikšanu
- Noturības un SmartScreen apiešanas opcijas
Aizsardzības pasākumi
Lai cīnītos pret ClickFix izraisītām infekcijām, organizācijām jāievieš proaktīvi aizsardzības pasākumi. Ieteicamie soļi ir šādi:
- Ierobežojot vai atspējojot Windows palaišanas dialoglodziņu, ja tas ir iespējams.
- Regulāru pikšķerēšanas un sociālās inženierijas simulāciju veikšana lietotāju apmācībai.
- Ieviešot stabilu reģistrēšanu un uzraudzību, lai ātri atklātu neparastu PowerShell vai skriptu izpildi.
Koncentrējoties gan uz profilaksi, gan agrīnu atklāšanu, organizācijas var ievērojami samazināt risku, ko rada kampaņas, kurās iesaistītas ClickFix un CORNFLAKE.V3.
