CORNFLAKE.V3 Arka Kapısı

Tehdit aktörleri, gelişmiş bir arka kapı olan CORNFLAKE.V3'ü dağıtmak için ClickFix olarak bilinen aldatıcı bir tekniği giderek daha fazla kullanıyor. UNC5518 olarak adlandırılan etkinliği izleyen güvenlik araştırmacıları, bunu, sahte CAPTCHA sayfalarının kurbanları kötü amaçlı komutlar çalıştırmaya kandırdığı bir hizmet olarak erişim işlemine bağladı. Erişim sağlandıktan sonra, daha fazla istismar için yeniden satılıyor veya diğer siber suç gruplarıyla paylaşılıyor.

Saldırı Nasıl Başlıyor?

Enfeksiyon zinciri genellikle kullanıcıların SEO'ya aykırı arama sonuçları veya kötü amaçlı reklamlarla etkileşime girmesiyle başlar. Mağdurlar, Cloudflare'in Turnstile'ına veya diğer meşru hizmetlere benzeyecek şekilde tasarlanmış sahte bir CAPTCHA doğrulama sayfasına yönlendirilir. Bir doğrulama sorununu çözdüklerini sanan kullanıcılar, bunun yerine kötü amaçlı bir PowerShell betiğini kopyalayıp Windows Çalıştır iletişim kutusuna yapıştırmaya yönlendirilir ve bu da saldırganlara ihtiyaç duydukları dayanağı sağlar.

Tehdit Aktörü Katılımı

UNC5518 kampanyalarından çalınan erişim en az iki farklı grup tarafından kullanıldı:

• UNC5774 – ek yükleri dağıtmak için CORNFLAKE'i teslim eden finansal olarak motive olmuş bir aktör.
• UNC4108 – VOLTMARKER ve NetSupport RAT gibi kötü amaçlı yazılımları bırakmak için PowerShell kullandığı gözlemlenen, amaçları belirsiz bir grup.

Bu, ClickFix'in çeşitli kötü amaçlı takip faaliyetleri için bir ağ geçidi görevi gördüğünü göstermektedir.

CORNFLAKE.V3’ün İçinde

CORNFLAKE.V3 arka kapısı hem JavaScript hem de PHP sürümlerinde mevcuttur. Şu amaçlarla tasarlanmıştır:

• Yürütülebilir dosyalar, DLL'ler, JavaScript, toplu iş dosyaları ve PowerShell komutları dahil olmak üzere farklı yükleri HTTP üzerinden yürütün.
• Temel sistem verilerini toplayın ve gizlenmesi için Cloudflare tünelleri aracılığıyla saldırganın kontrolündeki bir sunucuya gönderin.

Yalnızca bir indirici olarak çalışan selefi V2'nin aksine, V3, Windows Kayıt Defteri Çalıştırma anahtarlarını değiştirerek kalıcılık sağlar ve daha geniş bir yük yelpazesini destekler. En az üç yük, aşağıdakiler de dahil olmak üzere, V3 aracılığıyla dağıtılmıştır:

• Bir Active Directory keşif aracı
• Kimlik bilgisi hırsızlığı için bir Kerberoasting betiği

WINDYTWIST.SEA, ters kabuk erişimi, TCP trafiği aktarımı ve yanal hareket gibi yeteneklere sahip C tabanlı bir arka kapıdır.

ClickFix Neden Tehlikelidir?

ClickFix yöntemi, insan etkileşimine büyük ölçüde dayandığı için siber suç çevrelerinde ivme kazandı. Kullanıcılar, birçok otomatik güvenlik aracını atlatarak komutları kendileri çalıştırmaya yönlendiriliyor. Yaygın uygulama yöntemleri şunlardır:

• Kimlik avı e-postaları
• Kötü amaçlı reklam kampanyaları
• Drive-by web sitesi ihlalleri

Güvenilirliği artırmak için saldırganlar genellikle tanınmış markaları, Cloudflare kontrollerini veya hatta Discord sunucu doğrulamalarını taklit ederler.

ClickFix Kitlerinin Ticarileştirilmesi

ClickFix geliştiricileri, 2024'ün sonlarından bu yana yeraltı forumlarında "Win + R" kitleri olarak pazarlanıyor. Fiyatlar, özelliklere bağlı olarak genellikle aylık 200 ila 1.500 dolar arasında değişiyor. Kaynak kodu, açılış sayfaları veya komut satırı betikleri gibi ayrı bileşenler genellikle 200 ila 500 dolar arasında ayrı ayrı satılıyor.

Bazı gelişmiş kitler ClickFix oluşturucularını diğer kötü amaçlı yazılım yükleyicileriyle bir araya getirir ve şunları sunar:

• Farklı cazibelere sahip hazır açılış sayfaları
• Antivirüs tespitini atlatması garantili komutlar
• Kalıcılık ve SmartScreen kaçınma seçenekleri

Savunma Önlemleri

ClickFix tabanlı enfeksiyonlara karşı koymak için kuruluşlar proaktif savunma yöntemleri benimsemelidir. Önerilen adımlar şunlardır:

• Mümkün olan durumlarda Windows Çalıştır iletişim kutusunun kısıtlanması veya devre dışı bırakılması.
• Kullanıcıları eğitmek amacıyla düzenli olarak kimlik avı ve sosyal mühendislik simülasyonları yapılması.
• Olağandışı PowerShell veya betik yürütmelerini hızla tespit etmek için sağlam günlük kaydı ve izlemeyi uygulama.

Kuruluşlar, hem önlemeye hem de erken tespite odaklanarak ClickFix ve CORNFLAKE.V3'ü içeren kampanyaların oluşturduğu riski önemli ölçüde azaltabilir.