Sebut Harga Diskaun Berbilang Lesen
Pangkalan Data Ancaman perisian hasad CORNFLAKE.V3 Pintu Belakang

CORNFLAKE.V3 Pintu Belakang

Menjelang Mezo pada perisian hasad, Ancaman Berterusan Lanjutan (APT), Pintu belakang
Terjemahkan ke

Pelakon ancaman semakin mengeksploitasi teknik menipu yang dikenali sebagai ClickFix untuk mengedarkan pintu belakang yang canggih, CORNFLAKE.V3. Penyelidik keselamatan yang menjejaki aktiviti itu, yang ditetapkan UNC5518, telah memautkannya dengan operasi akses-sebagai-perkhidmatan di mana halaman CAPTCHA palsu memperdaya mangsa supaya melaksanakan perintah berniat jahat. Setelah akses diperoleh, ia dijual semula atau dikongsi dengan kumpulan penjenayah siber lain untuk eksploitasi selanjutnya.

Bagaimana Serangan Bermula

Rantaian jangkitan selalunya bermula apabila pengguna berinteraksi dengan hasil carian beracun SEO atau iklan berniat jahat. Mangsa dialihkan ke halaman pengesahan CAPTCHA palsu, direka bentuk untuk menyerupai Turnstile Cloudflare atau perkhidmatan sah yang lain. Percaya bahawa mereka sedang menyelesaikan cabaran pengesahan, pengguna sebaliknya dibimbing untuk menyalin dan menampal skrip PowerShell yang berniat jahat ke dalam kotak dialog Windows Run, memberikan penyerang pijakan yang mereka perlukan.

Penglibatan Pelakon Ancaman

Akses yang dicuri daripada kempen UNC5518 telah dimanfaatkan oleh sekurang-kurangnya dua kumpulan berbeza:

  • UNC5774 – pelakon yang bermotivasi kewangan yang menyampaikan CORNFLAKE untuk menggunakan muatan tambahan.
  • UNC4108 – kumpulan dengan motif yang tidak jelas, diperhatikan menggunakan PowerShell untuk menggugurkan perisian hasad seperti VOLTMARKER dan NetSupport RAT.

Ini menunjukkan cara ClickFix berfungsi sebagai pintu masuk untuk pelbagai aktiviti susulan yang berniat jahat.

Di dalam CORNFLAKE.V3

Pintu belakang CORNFLAKE.V3 wujud dalam kedua-dua varian JavaScript dan PHP. Ia direka untuk:

  • Laksanakan muatan yang berbeza melalui HTTP, termasuk boleh laku, DLL, JavaScript, fail kelompok dan arahan PowerShell.
  • Kumpulkan data sistem asas dan hantarkannya ke pelayan yang dikawal oleh penyerang melalui terowong Cloudflare untuk disembunyikan.

Tidak seperti V2 pendahulunya, yang hanya berfungsi sebagai pemuat turun, V3 memperkenalkan ketekunan dengan mengubah suai kekunci Windows Registry Run dan menyokong julat muatan yang lebih luas. Sekurang-kurangnya tiga muatan telah diedarkan melaluinya, termasuk:

  • Alat peninjau Direktori Aktif
  • Skrip Kerberoasting untuk kecurian kelayakan

WINDYTWIST.SEA, pintu belakang berasaskan C dengan keupayaan seperti akses cengkerang terbalik, penyampaian trafik TCP dan pergerakan sisi

Mengapa ClickFix Berbahaya

Kaedah ClickFix telah mendapat momentum dalam kalangan penjenayah siber kerana ia sangat bergantung pada interaksi manusia. Pengguna dimanipulasi untuk menjalankan arahan sendiri, memintas banyak alat keselamatan automatik. Vektor penghantaran biasa termasuk:

  • E-mel pancingan data
  • Kempen malvertising
  • Kompromi tapak web memandu mengikut

Untuk meningkatkan kredibiliti, penyerang sering menyamar sebagai jenama terkenal, semakan Cloudflare, atau bahkan pengesahan pelayan Discord.

Pengkomersialan Kit ClickFix

Sejak lewat 2024, pembina ClickFix telah muncul di forum bawah tanah, dipasarkan sebagai kit 'Win + R'. Harga biasanya berkisar antara $200 hingga $1,500 sebulan, bergantung pada ciri. Komponen individu, seperti kod sumber, halaman pendaratan atau skrip baris perintah, sering dijual secara berasingan dengan harga $200–$500.

Beberapa kit lanjutan menggabungkan pembina ClickFix dengan pemuat perisian hasad lain dan menawarkan:

  • Halaman pendaratan sedia dengan gewang yang berbeza
  • Perintah dijamin untuk memintas pengesanan antivirus
  • Pilihan untuk kegigihan dan pengelakan SmartScreen

Langkah-langkah Defensif

Untuk mengatasi jangkitan berasaskan ClickFix, organisasi harus menggunakan pertahanan proaktif. Langkah-langkah yang disyorkan termasuk:

  • Menyekat atau melumpuhkan dialog Windows Run jika boleh.
  • Menjalankan simulasi pancingan data dan kejuruteraan sosial untuk melatih pengguna.
  • Melaksanakan pengelogan dan pemantauan yang mantap untuk mengesan pelaksanaan PowerShell atau skrip yang luar biasa dengan cepat.

Dengan memfokuskan pada kedua-dua pencegahan dan pengesanan awal, organisasi boleh mengurangkan dengan ketara risiko yang ditimbulkan oleh kempen yang melibatkan ClickFix dan CORNFLAKE.V3.

Trending

Paling banyak dilihat

Memuatkan...