CORNFLAKE.V3 Бэкдор
Злоумышленники всё чаще используют обманную технику, известную как ClickFix, для распространения сложного бэкдора CORNFLAKE.V3. Исследователи безопасности, отслеживающие эту активность, обозначенную как UNC5518, связали её с мошеннической схемой предоставления доступа как услуги, где поддельные страницы CAPTCHA обманным путём заставляют жертв выполнять вредоносные команды. После получения доступа он перепродаётся или предоставляется другим киберпреступным группировкам для дальнейшей эксплуатации.
Оглавление
Как начинается атака
Цепочка заражения часто начинается, когда пользователи взаимодействуют с результатами поиска, искаженными SEO-оптимизацией, или вредоносной рекламой. Жертвы перенаправляются на поддельную страницу проверки CAPTCHA, напоминающую Turnstile от Cloudflare или другие легитимные сервисы. Полагая, что они проходят проверку, пользователи вместо этого скопируют и вставят вредоносный скрипт PowerShell в диалоговое окно «Выполнить» Windows, что даёт злоумышленникам необходимую точку опоры.
Участие субъекта угрозы
Украденный доступ к кампаниям UNC5518 был использован по крайней мере двумя отдельными группами:
- UNC5774 – финансово мотивированный субъект, поставляющий CORNFLAKE для развертывания дополнительных полезных нагрузок.
- UNC4108 — группа с неясными мотивами, замеченная в использовании PowerShell для распространения вредоносных программ, таких как VOLTMARKER и NetSupport RAT.
Это демонстрирует, как ClickFix служит шлюзом для множества вредоносных последующих действий.
Внутри CORNFLAKE.V3
Бэкдор CORNFLAKE.V3 существует в версиях JavaScript и PHP. Он предназначен для:
- Выполнять различные полезные данные через HTTP, включая исполняемые файлы, библиотеки DLL, JavaScript, пакетные файлы и команды PowerShell.
- Соберите основные системные данные и отправьте их на контролируемый злоумышленником сервер через туннели Cloudflare для сокрытия.
В отличие от своего предшественника V2, который функционировал только как загрузчик, V3 обеспечивает сохранение данных, изменяя ключи реестра Windows, и поддерживает более широкий спектр полезных нагрузок. С его помощью были распространены как минимум три полезных нагрузки, включая:
- Инструмент разведки Active Directory
- Скрипт Kerberoasting для кражи учетных данных
WINDYTWIST.SEA — бэкдор на базе C с такими возможностями, как доступ к обратной оболочке, ретрансляция TCP-трафика и боковое перемещение
Почему ClickFix опасен
Метод ClickFix приобрел популярность в киберпреступных кругах, поскольку он в значительной степени основан на человеческом взаимодействии. Пользователей заставляют самостоятельно выполнять команды, обходя множество автоматизированных средств безопасности. Распространенные векторы распространения включают:
- Фишинговые письма
- Вредоносные рекламные кампании
- Взломы сайтов Drive-By
Чтобы повысить доверие, злоумышленники часто выдают себя за известные бренды, проверки Cloudflare или даже проверки серверов Discord.
Коммерциализация комплектов ClickFix
С конца 2024 года на подпольных форумах появились сборщики ClickFix, рекламируемые как наборы «Win + R». Цены обычно варьируются от 200 до 1500 долларов в месяц, в зависимости от набора функций. Отдельные компоненты, такие как исходный код, целевые страницы или скрипты командной строки, часто продаются отдельно за 200–500 долларов.
Некоторые расширенные комплекты объединяют конструкторы ClickFix с другими загрузчиками вредоносных программ и предлагают:
- Готовые лендинги с разными приманками
- Команды, гарантированно обходящие обнаружение антивирусом
- Варианты настойчивости и обхода SmartScreen
Защитные меры
Для противодействия заражениям с помощью ClickFix организациям следует применять превентивные меры защиты. Рекомендуемые шаги включают:
- Ограничьте или отключите диалоговое окно «Выполнить» Windows, где это возможно.
- Регулярное проведение симуляций фишинга и социальной инженерии для обучения пользователей.
- Реализация надежного ведения журнала и мониторинга для быстрого обнаружения необычных запусков PowerShell или скриптов.
Сосредоточившись как на профилактике, так и на раннем обнаружении, организации могут значительно снизить риск, связанный с кампаниями с участием ClickFix и CORNFLAKE.V3.
