Popust za več licenc
Podjetje o grožnjah Zlonamerna programska oprema Zadnja vrata CORNFLAKE.V3

Zadnja vrata CORNFLAKE.V3

Do leta Mezo leta Zlonamerna programska oprema, Napredna trajna grožnja (APT), Zadnja vrata
Prevedi v:

Grožnje vse pogosteje izkoriščajo zavajajočo tehniko, znano kot ClickFix, za distribucijo sofisticirane zadnja vrata, CORNFLAKE.V3. Varnostni raziskovalci, ki spremljajo aktivnost z oznako UNC5518, so jo povezali z operacijo dostopa kot storitve (ASS), kjer lažne strani CAPTCHA žrtve zavedejo v izvajanje zlonamernih ukazov. Ko je dostop pridobljen, ga preprodajo ali delijo z drugimi skupinami kibernetskih kriminalcev za nadaljnje izkoriščanje.

Kako se napad začne

Veriga okužbe se pogosto začne, ko uporabniki komunicirajo z rezultati iskanja, zastrupljenimi z optimizacijo za iskalnike, ali zlonamernimi oglasi. Žrtve so preusmerjene na lažno stran za preverjanje CAPTCHA, ki je zasnovana tako, da spominja na Cloudflarejev Turnstile ali druge legitimne storitve. Uporabniki, ki verjamejo, da rešujejo izziv preverjanja, so namesto tega usmerjeni v kopiranje in lepljenje zlonamernega skripta PowerShell v pogovorno okno Zaženi v sistemu Windows, kar napadalcem daje potrebno oporo.

Vpletenost akterja grožnje

Ukraden dostop iz kampanj UNC5518 sta izkoristili vsaj dve različni skupini:

  • UNC5774 – finančno motiviran akter, ki dobavlja CORNFLAKE za namestitev dodatnih koristnih tovorov.
  • UNC4108 – skupina z nejasnimi motivi, opažena pri uporabi PowerShella za namestitev zlonamerne programske opreme, kot sta VOLTMARKER in NetSupport RAT.

To prikazuje, kako ClickFix služi kot prehod za različne zlonamerne nadaljnje dejavnosti.

V notranjosti koruznih kosmičev.V3

Zakulisje CORNFLAKE.V3 obstaja v različicah JavaScript in PHP. Zasnovano je za:

  • Izvajajte različne koristne obremenitve prek HTTP-ja, vključno z izvedljivimi datotekami, DLL-ji, JavaScriptom, paketnimi datotekami in ukazi PowerShell.
  • Zberite osnovne sistemske podatke in jih prek tunelov Cloudflare pošljite na strežnik, ki ga nadzoruje napadalec, za prikrivanje.

Za razliko od predhodnika V2, ki je deloval le kot program za prenos, V3 uvaja vztrajnost s spreminjanjem ključev zagona v registru sistema Windows in podpira širši nabor koristnih tovorov. Prek njega so bili distribuirani vsaj trije koristni tovori, vključno z:

  • Orodje za izvidovanje Active Directoryja
  • Skript Kerberoasting za krajo poverilnic

WINDYTWIST.SEA, zadnja vrata, ki temeljijo na jeziku C, z zmogljivostmi, kot so dostop do obratne lupine, posredovanje prometa TCP in lateralno gibanje

Zakaj je ClickFix nevaren

Metoda ClickFix je v krogih kibernetskega kriminala pridobila na veljavi, ker se močno zanaša na človeško interakcijo. Uporabniki so zmanipulirani, da sami izvajajo ukaze, s čimer se zaobidejo številna avtomatizirana varnostna orodja. Pogosti vektorji dostave vključujejo:

  • E-poštna sporočila z lažnim predstavljanjem
  • Zlonamerne oglaševalske kampanje
  • Kompromisi spletnih strani, ki jih je mogoče izvesti mimo vozila

Da bi povečali verodostojnost, napadalci pogosto posnemajo znane blagovne znamke, preverjanja Cloudflare ali celo preverjanja strežnikov Discord.

Komercializacija kompletov ClickFix

Od konca leta 2024 se na podzemnih forumih pojavljajo graditelji ClickFix, ki se tržijo kot kompleti »Win + R«. Cene se običajno gibljejo od 200 do 1500 dolarjev na mesec, odvisno od funkcij. Posamezne komponente, kot so izvorna koda, ciljne strani ali skripti ukazne vrstice, se pogosto prodajajo ločeno za 200–500 dolarjev.

Nekateri napredni kompleti združujejo graditelje ClickFix z drugimi nalagalniki zlonamerne programske opreme in ponujajo:

  • Pripravljene ciljne strani z različnimi vabami
  • Ukazi, ki zagotovo obidejo protivirusno zaznavanje
  • Možnosti za vztrajnost in izogibanje SmartScreenu

Obrambni ukrepi

Za preprečevanje okužb, ki temeljijo na ClickFixu, bi morale organizacije sprejeti proaktivne obrambne ukrepe. Priporočeni koraki vključujejo:

  • Omejevanje ali onemogočanje pogovornega okna Zaženi v sistemu Windows, kjer je to izvedljivo.
  • Redno izvajanje simulacij lažnega predstavljanja in socialnega inženiringa za usposabljanje uporabnikov.
  • Izvajanje robustnega beleženja in spremljanja za hitro zaznavanje nenavadnih izvedb PowerShella ali skriptov.

Z osredotočanjem na preprečevanje in zgodnje odkrivanje lahko organizacije znatno zmanjšajo tveganje, ki ga predstavljajo kampanje, ki vključujejo ClickFix in CORNFLAKE.V3.

V trendu

Najbolj gledan

Nalaganje...