Multi-License Discount Quote
Banta sa Database Malware CORNFLAKE.V3 Backdoor

CORNFLAKE.V3 Backdoor

Sa pamamagitan ng Mezo sa Malware, Advanced Persistent Threat (APT), Mga backdoor
Isalin To:

Ang mga aktor ng pagbabanta ay lalong nagsasamantala sa isang mapanlinlang na pamamaraan na kilala bilang ClickFix upang ipamahagi ang isang sopistikadong backdoor, ang CORNFLAKE.V3. Iniugnay ito ng mga mananaliksik sa seguridad na sumusubaybay sa aktibidad, na itinalagang UNC5518, sa isang operasyong access-as-a-service kung saan nanlilinlang ang mga pekeng pahina ng CAPTCHA sa mga biktima na magsagawa ng mga malisyosong utos. Kapag nakuha na ang access, ibebenta muli o ibinabahagi ito sa ibang mga grupo ng cybercriminal para sa karagdagang pagsasamantala.

Paano Nagsisimula ang Pag-atake

Madalas na nagsisimula ang chain ng impeksyon kapag nakipag-ugnayan ang mga user sa mga resulta ng paghahanap na nalason sa SEO o mga nakakahamak na ad. Ang mga biktima ay ini-redirect sa isang pekeng pahina ng pag-verify ng CAPTCHA, na idinisenyo upang maging katulad ng Turnstile ng Cloudflare o iba pang mga lehitimong serbisyo. Sa paniniwalang nilulutas nila ang isang hamon sa pag-verify, ginagabayan ang mga user na kopyahin at i-paste ang isang nakakahamak na PowerShell script sa dialog box ng Windows Run, na nagbibigay sa mga umaatake ng foothold na kailangan nila.

Pagsasama ng Aktor ng Banta

Ang ninakaw na pag-access mula sa mga kampanya ng UNC5518 ay ginamit ng hindi bababa sa dalawang magkakaibang grupo:

  • UNC5774 – isang financially motivated na aktor na naghahatid ng CORNFLAKE para mag-deploy ng mga karagdagang payload.
  • UNC4108 – isang pangkat na may hindi malinaw na mga motibo, na naobserbahan gamit ang PowerShell upang i-drop ang malware tulad ng VOLTMARKER at NetSupport RAT.

Ipinapakita nito kung paano nagsisilbi ang ClickFix bilang gateway para sa iba't ibang malisyosong follow-up na aktibidad.

Sa loob ng CORNFLAKE.V3

Ang CORNFLAKE.V3 backdoor ay umiiral sa parehong mga variant ng JavaScript at PHP. Ito ay dinisenyo upang:

  • Magsagawa ng iba't ibang payload sa pamamagitan ng HTTP, kabilang ang mga executable, DLL, JavaScript, batch file, at PowerShell command.
  • Ipunin ang pangunahing data ng system at ipadala ito sa isang server na kinokontrol ng attacker sa pamamagitan ng mga tunnel ng Cloudflare para sa pagtatago.

Hindi tulad ng hinalinhan nitong V2, na gumana lamang bilang isang downloader, ipinakilala ng V3 ang pagtitiyaga sa pamamagitan ng pagbabago sa mga key ng Windows Registry Run at sumusuporta sa mas malawak na hanay ng mga payload. Hindi bababa sa tatlong payload ang naipamahagi sa pamamagitan nito, kabilang ang:

  • Isang tool sa reconnaissance ng Active Directory
  • Isang Kerberoasting script para sa pagnanakaw ng kredensyal

WINDYTWIST.SEA, isang C-based na backdoor na may mga kakayahan tulad ng reverse shell access, TCP traffic relaying, at lateral movement

Bakit Delikado ang ClickFix

Ang paraan ng ClickFix ay nakakuha ng momentum sa cybercriminal circles dahil lubos itong umaasa sa pakikipag-ugnayan ng tao. Ang mga gumagamit ay manipulahin sa pagpapatakbo ng mga utos sa kanilang sarili, na nilalampasan ang maraming mga awtomatikong tool sa seguridad. Kasama sa mga karaniwang vector ng paghahatid ang:

  • Mga email sa phishing
  • Mga kampanyang malvertising
  • Drive-by na mga kompromiso sa website

Upang madagdagan ang kredibilidad, madalas na ginagaya ng mga umaatake ang mga kilalang brand, mga pagsusuri sa Cloudflare, o kahit na mga pag-verify ng Discord server.

Komersyalisasyon ng ClickFix Kit

Mula noong huling bahagi ng 2024, lumitaw ang mga tagabuo ng ClickFix sa mga underground na forum, na ibinebenta bilang 'Win + R' kit. Ang mga presyo ay karaniwang mula sa $200 hanggang $1,500 bawat buwan, depende sa mga feature. Ang mga indibidwal na bahagi, gaya ng source code, landing page, o command-line script, ay kadalasang ibinebenta nang hiwalay sa halagang $200–$500.

Ang ilang mga advanced na kit ay nagsasama ng mga tagabuo ng ClickFix sa iba pang mga malware loader at nag-aalok:

  • Mga handa na landing page na may iba't ibang pang-akit
  • Mga utos na garantisadong mag-bypass ng antivirus detection
  • Mga opsyon para sa pagtitiyaga at pag-iwas sa SmartScreen

Mga Depensibong Panukala

Upang malabanan ang mga impeksyon na nakabatay sa ClickFix, ang mga organisasyon ay dapat magpatibay ng mga aktibong depensa. Kasama sa mga inirerekomendang hakbang ang:

  • Paghihigpit o hindi pagpapagana sa dialog ng Windows Run kung saan posible.
  • Pagsasagawa ng regular na phishing at social engineering simulation para sanayin ang mga user.
  • Pagpapatupad ng matatag na pag-log at pagsubaybay upang mabilis na matukoy ang mga hindi pangkaraniwang PowerShell o mga pagpapatupad ng script.

Sa pamamagitan ng pagtutuon sa parehong pag-iwas at maagang pagtuklas, ang mga organisasyon ay maaaring makabuluhang bawasan ang panganib na dulot ng mga kampanyang kinasasangkutan ng ClickFix at CORNFLAKE.V3.

Trending

Pinaka Nanood

Naglo-load...