Multilicenčná zľavová ponuka
Databáza hrozieb Malvér Zadné vrátka CORNFLAKE.V3

Zadné vrátka CORNFLAKE.V3

Do roku Mezo v roku Malvér, Pokročilá perzistentná hrozba (APT), Zadné vrátka
Preložiť do:

Útočníci čoraz častejšie využívajú klamlivú techniku známu ako ClickFix na distribúciu sofistikovaného zadného vrátka s názvom CORNFLAKE.V3. Bezpečnostní výskumníci sledujúci túto aktivitu s označením UNC5518 ju prepojili s operáciou typu prístup ako služba (AAS), kde falošné stránky CAPTCHA oklamú obete a prinútia ich vykonať škodlivé príkazy. Po získaní prístupu sa ďalej predá alebo zdieľa s inými kyberzločineckými skupinami na ďalšie zneužitie.

Ako útok začína

Reťazec infekcie často začína interakciou používateľov s výsledkami vyhľadávania znehodnotenými SEO alebo škodlivými reklamami. Obete sú presmerované na falošnú overovaciu stránku CAPTCHA, ktorá je navrhnutá tak, aby pripomínala Turnstile od Cloudflare alebo iné legitímne služby. Používatelia, ktorí sa domnievajú, že riešia overovací problém, sú namiesto toho vedení ku skopírovaniu a vloženiu škodlivého skriptu PowerShell do dialógového okna Spustiť systému Windows, čo útočníkom poskytuje potrebnú oporu.

Zapojenie aktéra hrozby

Ukradnutý prístup z kampaní UNC5518 zneužili najmenej dve odlišné skupiny:

  • UNC5774 – finančne motivovaný aktér, ktorý dodáva CORNFLAKE na nasadenie dodatočných užitočných zaťažení.
  • UNC4108 – skupina s nejasnými motívmi, pozorovaná pri používaní PowerShellu na šírenie malvéru ako VOLTMARKER a NetSupport RAT.

Toto demonštruje, ako ClickFix slúži ako brána pre rôzne škodlivé následné aktivity.

Vnútri CORNFLAKE.V3

Backdoor CORNFLAKE.V3 existuje vo variantoch JavaScript aj PHP. Je navrhnutý tak, aby:

  • Spúšťajte rôzne užitočné zaťaženia cez HTTP, vrátane spustiteľných súborov, DLL, JavaScriptu, dávkových súborov a príkazov PowerShellu.
  • Zhromaždite základné systémové údaje a odošlite ich na server ovládaný útočníkom prostredníctvom tunelov Cloudflare na účely ich utajenia.

Na rozdiel od svojho predchodcu V2, ktorý fungoval iba ako sťahovací program, V3 zavádza perzistenciu úpravou kľúčov spúšťania v databáze Registry systému Windows a podporuje širšiu škálu dátových súborov. Prostredníctvom neho boli distribuované najmenej tri dátové súbory vrátane:

  • Nástroj na prieskum služby Active Directory
  • Kerberoastingový skript na krádež poverení

WINDYTWIST.SEA, zadné vrátka založené na jazyku C s funkciami ako je prístup k reverznému shellu, prenos TCP prevádzky a laterálny pohyb

Prečo je ClickFix nebezpečný

Metóda ClickFix získala na popularite v kruhoch kyberkriminálnikov, pretože sa vo veľkej miere spolieha na ľudskú interakciu. Používatelia sú manipulovaní, aby sami spúšťali príkazy, čím obchádzajú mnohé automatizované bezpečnostné nástroje. Medzi bežné vektory doručenia patria:

  • Phishingové e-maily
  • Kampane so škodlivou reklamou
  • Kompromitácie webových stránok typu drive-by

Aby sa zvýšila dôveryhodnosť, útočníci sa často vydávajú za známe značky, kontroly Cloudflare alebo dokonca overenia serverov Discord.

Komercializácia súprav ClickFix

Od konca roka 2024 sa na podzemných fórach objavujú nástroje na tvorbu ClickFixov, ktoré sa predávajú ako súpravy „Win + R“. Ceny sa zvyčajne pohybujú od 200 do 1 500 dolárov mesačne v závislosti od funkcií. Jednotlivé komponenty, ako napríklad zdrojový kód, vstupné stránky alebo skripty príkazového riadka, sa často predávajú samostatne za 200 až 500 dolárov.

Niektoré pokročilé súpravy spájajú nástroje na tvorbu ClickFix s inými zavádzačmi škodlivého softvéru a ponúkajú:

  • Hotové vstupné stránky s rôznymi lákadlami
  • Príkazy zaručene obídu antivírusovú detekciu
  • Možnosti pre perzistenciu a obchádzanie funkcie SmartScreen

Obranné opatrenia

Aby sa organizácie mohli brániť infekciám založeným na ClickFixe, mali by prijať proaktívne opatrenia. Odporúčané kroky zahŕňajú:

  • Obmedzenie alebo zakázanie dialógového okna Spustiť v systéme Windows, kde je to možné.
  • Vykonávanie pravidelných simulácií phishingu a sociálneho inžinierstva na zaškolenie používateľov.
  • Implementácia robustného protokolovania a monitorovania na rýchle odhalenie nezvyčajného vykonávania PowerShellu alebo skriptov.

Zameraním sa na prevenciu aj včasnú detekciu môžu organizácie výrazne znížiť riziko, ktoré predstavujú kampane zahŕňajúce ClickFix a CORNFLAKE.V3.

Trendy

Najviac videné

Načítava...