CORNFLAKE.V3 Backdoor

ผู้ก่อภัยคุกคามกำลังใช้ประโยชน์จากเทคนิคการหลอกลวงที่รู้จักกันในชื่อ ClickFix มากขึ้นเรื่อยๆ เพื่อเผยแพร่แบ็กดอร์ที่ซับซ้อน CORNFLAKE.V3 นักวิจัยด้านความปลอดภัยที่ติดตามกิจกรรมนี้ ซึ่งกำหนดรหัส UNC5518 ได้เชื่อมโยงกิจกรรมนี้เข้ากับปฏิบัติการแบบ Access-as-a-Service ซึ่งหน้า CAPTCHA ปลอมจะหลอกล่อเหยื่อให้ดำเนินการคำสั่งที่เป็นอันตราย เมื่อเข้าถึงได้แล้ว จะถูกขายต่อหรือแบ่งปันให้กับกลุ่มอาชญากรไซเบอร์อื่นๆ เพื่อใช้ประโยชน์ต่อไป

การโจมตีเริ่มต้นอย่างไร

ห่วงโซ่การติดเชื้อมักเริ่มต้นเมื่อผู้ใช้โต้ตอบกับผลการค้นหาที่ส่งผลเสียต่อ SEO หรือโฆษณาที่เป็นอันตราย เหยื่อจะถูกเปลี่ยนเส้นทางไปยังหน้ายืนยัน CAPTCHA ปลอม ซึ่งออกแบบมาให้คล้ายกับ Turnstile ของ Cloudflare หรือบริการอื่นๆ ที่ถูกต้องตามกฎหมาย ผู้ใช้เชื่อว่ากำลังแก้ไขปัญหาการยืนยันตัวตน จึงถูกแนะนำให้คัดลอกและวางสคริปต์ PowerShell ที่เป็นอันตรายลงในกล่องโต้ตอบ Run ของ Windows แทน ซึ่งทำให้ผู้โจมตีมีฐานที่มั่นที่ต้องการ

การมีส่วนร่วมของผู้ก่อภัยคุกคาม

การเข้าถึงที่ถูกขโมยจากแคมเปญ UNC5518 ได้ถูกใช้ประโยชน์โดยกลุ่มที่แตกต่างกันอย่างน้อยสองกลุ่ม:

• UNC5774 – ผู้แสดงที่ได้รับแรงจูงใจทางการเงินในการส่งมอบ CORNFLAKE เพื่อใช้งานบรรทุกเพิ่มเติม
• UNC4108 – กลุ่มที่มีแรงจูงใจที่ไม่ชัดเจน พบว่าใช้ PowerShell เพื่อลบมัลแวร์ เช่น VOLTMARKER และ NetSupport RAT

สิ่งนี้แสดงให้เห็นว่า ClickFix ทำหน้าที่เป็นช่องทางในการติดตามกิจกรรมที่เป็นอันตรายต่างๆ

ภายใน CORNFLAKE.V3

แบ็คดอร์ CORNFLAKE.V3 มีอยู่ในทั้ง JavaScript และ PHP แบ็กดอร์นี้ถูกออกแบบมาเพื่อ:

• ดำเนินการโหลดข้อมูลที่แตกต่างกันผ่านทาง HTTP รวมถึงไฟล์ปฏิบัติการ DLL, JavaScript, ไฟล์แบตช์ และคำสั่ง PowerShell
• รวบรวมข้อมูลระบบพื้นฐานและส่งไปยังเซิร์ฟเวอร์ที่ควบคุมโดยผู้โจมตีผ่านอุโมงค์ Cloudflare เพื่อปกปิด

ต่างจาก V2 รุ่นก่อนหน้าที่ทำหน้าที่เป็นเพียงตัวดาวน์โหลด V3 นำเสนอการคงอยู่โดยการปรับเปลี่ยนคีย์ Windows Registry Run และรองรับเพย์โหลดที่หลากหลายกว่า มีเพย์โหลดอย่างน้อยสามรายการที่ถูกแจกจ่ายผ่าน V3 ได้แก่:

• เครื่องมือตรวจสอบ Active Directory
• สคริปต์ Kerberoasting สำหรับการขโมยข้อมูลประจำตัว

WINDYTWIST.SEA แบ็กดอร์ที่ใช้ C มีความสามารถ เช่น การเข้าถึงเชลล์แบบย้อนกลับ การส่งต่อข้อมูล TCP และการเคลื่อนที่ตามขวาง

เหตุใด ClickFix จึงเป็นอันตราย

วิธีการ ClickFix ได้รับความนิยมอย่างมากในวงการอาชญากรไซเบอร์ เนื่องจากอาศัยปฏิสัมพันธ์ระหว่างมนุษย์เป็นหลัก ผู้ใช้จะถูกหลอกให้รันคำสั่งเอง โดยหลีกเลี่ยงเครื่องมือรักษาความปลอดภัยอัตโนมัติมากมาย ช่องทางการส่งคำสั่งที่พบบ่อย ได้แก่:

• อีเมลฟิชชิ่ง
• แคมเปญโฆษณาแฝงมัลแวร์
• เว็บไซต์ไดรฟ์บายถูกบุกรุก

เพื่อเพิ่มความน่าเชื่อถือ ผู้โจมตีมักปลอมตัวเป็นแบรนด์ที่เป็นที่รู้จัก ตรวจสอบ Cloudflare หรือแม้กระทั่งตรวจสอบเซิร์ฟเวอร์ Discord

การจำหน่ายชุด ClickFix ในเชิงพาณิชย์

ตั้งแต่ปลายปี 2024 เป็นต้นมา โปรแกรมสร้าง ClickFix มักปรากฏในฟอรัมใต้ดิน โดยโฆษณาว่า "ชุด Win + R" ราคาโดยทั่วไปจะอยู่ระหว่าง 200 ถึง 1,500 ดอลลาร์สหรัฐต่อเดือน ขึ้นอยู่กับฟีเจอร์ ส่วนประกอบต่างๆ เช่น ซอร์สโค้ด หน้า Landing Page หรือสคริปต์บรรทัดคำสั่ง มักขายแยกกันในราคา 200–500 ดอลลาร์สหรัฐ

ชุดขั้นสูงบางชุดรวมตัวสร้าง ClickFix เข้ากับตัวโหลดมัลแวร์อื่น ๆ และเสนอ:

• หน้า Landing Page สำเร็จรูปพร้อมเหยื่อล่อต่างๆ
• คำสั่งรับประกันการข้ามการตรวจจับไวรัส
• ตัวเลือกสำหรับการคงอยู่และการหลีกเลี่ยง SmartScreen

มาตรการป้องกัน

เพื่อรับมือกับการติดเชื้อจาก ClickFix องค์กรต่างๆ ควรใช้มาตรการป้องกันเชิงรุก ขั้นตอนที่แนะนำมีดังนี้:

• การจำกัดหรือปิดการใช้งานกล่องโต้ตอบเรียกใช้ของ Windows หากทำได้
• ดำเนินการจำลองฟิชชิ่งและวิศวกรรมสังคมเป็นประจำเพื่อฝึกอบรมผู้ใช้
• การใช้การบันทึกและการตรวจสอบที่แข็งแกร่งเพื่อตรวจจับการทำงานของ PowerShell หรือสคริปต์ที่ผิดปกติอย่างรวดเร็ว

การมุ่งเน้นทั้งการป้องกันและการตรวจจับในระยะเริ่มต้นช่วยให้องค์กรลดความเสี่ยงที่เกิดจากแคมเปญที่เกี่ยวข้องกับ ClickFix และ CORNFLAKE.V3 ได้อย่างมาก