Oferta rabatowa na wiele licencji
Baza danych zagrożeń Złośliwe oprogramowanie Tylne drzwi CORNFLAKE.V3

Tylne drzwi CORNFLAKE.V3

Do Mezo w Złośliwe oprogramowanie, Zaawansowane trwałe zagrożenie (APT), Tylne drzwi
Przetłumacz na:

Aktorzy zagrożeń coraz częściej wykorzystują oszukańczą technikę znaną jako ClickFix do dystrybucji wyrafinowanego backdoora, CORNFLAKE.V3. Badacze bezpieczeństwa śledzący tę aktywność, oznaczoną jako UNC5518, powiązali ją z operacją dostępu jako usługi (AAS), w której fałszywe strony CAPTCHA nakłaniają ofiary do wykonywania złośliwych poleceń. Po uzyskaniu dostępu, strony są odsprzedawane lub udostępniane innym grupom cyberprzestępczym w celu dalszego wykorzystania.

Jak rozpoczyna się atak

Łańcuch infekcji często rozpoczyna się, gdy użytkownicy wchodzą w interakcję z wynikami wyszukiwania zatrutymi SEO lub złośliwymi reklamami. Ofiary są przekierowywane na fałszywą stronę weryfikacji CAPTCHA, zaprojektowaną tak, aby przypominała Turnstile firmy Cloudflare lub inne legalne usługi. Użytkownicy, przekonani, że rozwiązują problem weryfikacji, są proszeni o skopiowanie i wklejenie złośliwego skryptu programu PowerShell do okna dialogowego Uruchom w systemie Windows, dając atakującym niezbędny punkt zaczepienia.

Zaangażowanie aktora zagrożenia

Skradziony dostęp z kampanii UNC5518 został wykorzystany przez co najmniej dwie odrębne grupy:

  • UNC5774 – podmiot motywowany finansowo, dostarczający CORNFLAKE w celu rozmieszczenia dodatkowych ładunków.
  • UNC4108 – grupa o niejasnych motywach, zaobserwowana przy użyciu programu PowerShell w celu instalowania złośliwego oprogramowania, takiego jak VOLTMARKER i NetSupport RAT.

Pokazuje to, w jaki sposób ClickFix staje się bramą dla wielu złośliwych działań.

Wewnątrz CORNFLAKE.V3

Backdoor CORNFLAKE.V3 występuje zarówno w wersjach JavaScript, jak i PHP. Jego celem jest:

  • Wykonywanie różnych ładunków za pośrednictwem protokołu HTTP, w tym plików wykonywalnych, bibliotek DLL, skryptów JavaScript, plików wsadowych i poleceń programu PowerShell.
  • Zbierz podstawowe dane systemowe i wyślij je do serwera kontrolowanego przez atakującego za pomocą tuneli Cloudflare w celu ukrycia.

W przeciwieństwie do swojego poprzednika, wersji V2, który działał jedynie jako downloader, wersja V3 wprowadza trwałość poprzez modyfikację kluczy Run w rejestrze systemu Windows i obsługuje szerszy zakres ładunków. Za jej pośrednictwem dystrybuowano co najmniej trzy ładunki, w tym:

  • Narzędzie rozpoznawcze Active Directory
  • Skrypt Kerberoasting służący do kradzieży danych uwierzytelniających

WINDYTWIST.SEA, tylne wejście oparte na języku C, oferujące takie możliwości, jak dostęp do powłoki odwrotnej, przekazywanie ruchu TCP i ruch boczny

Dlaczego ClickFix jest niebezpieczny

Metoda ClickFix zyskała popularność w kręgach cyberprzestępców, ponieważ w dużej mierze opiera się na interakcji międzyludzkiej. Użytkownicy są manipulowani, aby sami uruchamiali polecenia, omijając wiele zautomatyzowanych narzędzi bezpieczeństwa. Typowe wektory dystrybucji obejmują:

  • E-maile phishingowe
  • Kampanie malvertisingowe
  • Naruszenia witryn internetowych typu drive-by

Aby zwiększyć wiarygodność, atakujący często podszywają się pod znane marki, kontrole Cloudflare, a nawet weryfikacje serwerów Discord.

Komercjalizacja zestawów ClickFix

Od końca 2024 roku na forach internetowych pojawiły się narzędzia do tworzenia ClickFix, sprzedawane jako zestawy „Win + R”. Ceny wahają się zazwyczaj od 200 do 1500 dolarów miesięcznie, w zależności od funkcji. Poszczególne komponenty, takie jak kod źródłowy, strony docelowe czy skrypty wiersza poleceń, są często sprzedawane osobno w cenie 200–500 dolarów.

Niektóre zaawansowane zestawy zawierają programy ClickFix wraz z innymi programami do ładowania złośliwego oprogramowania i oferują:

  • Gotowe strony docelowe z różnymi przynętami
  • Polecenia gwarantujące ominięcie wykrycia antywirusowego
  • Opcje trwałości i unikania SmartScreen

Środki obronne

Aby przeciwdziałać infekcjom opartym na ClickFix, organizacje powinny wdrożyć proaktywne środki obrony. Zalecane kroki obejmują:

  • Ograniczanie lub wyłączanie okna dialogowego Uruchamianie systemu Windows, tam gdzie to możliwe.
  • Regularne przeprowadzanie symulacji phishingu i inżynierii społecznej w celu szkolenia użytkowników.
  • Wdrożenie solidnego rejestrowania i monitorowania w celu szybkiego wykrywania nietypowych wykonań skryptów programu PowerShell.

Koncentrując się zarówno na zapobieganiu, jak i wczesnym wykrywaniu, organizacje mogą znacząco ograniczyć ryzyko, jakie stwarzają kampanie wykorzystujące ClickFix i CORNFLAKE.V3.

Popularne

Najczęściej oglądane

Ładowanie...