Бекдор CORNFLAKE.V3
Зловмисники дедалі частіше використовують оманливу техніку під назвою ClickFix для розповсюдження складного бекдору CORNFLAKE.V3. Дослідники з безпеки, які відстежують цю активність, позначену як UNC5518, пов'язали її з операцією «доступ як послуга», де підроблені сторінки CAPTCHA обманом змушують жертв виконувати шкідливі команди. Після отримання доступу його перепродають або передають іншим кіберзлочинним групам для подальшої експлуатації.
Зміст
Як починається атака
Ланцюг зараження часто починається, коли користувачі взаємодіють із результатами пошуку, що містять SEO-фальшиві запити, або шкідливою рекламою. Жертв перенаправляють на підроблену сторінку перевірки CAPTCHA, розроблену так, щоб вона нагадувала Turnstile від Cloudflare або інші легітимні сервіси. Вважаючи, що вони вирішують проблему перевірки, користувачам замість цього пропонують скопіювати та вставити шкідливий скрипт PowerShell у діалогове вікно «Виконати» Windows, що дає зловмисникам необхідну опору.
Участь суб’єкта загрози
Викрадений доступ з кампаній UNC5518 використовували щонайменше дві різні групи:
- UNC5774 – фінансово мотивований актор, що постачає CORNFLAKE для розгортання додаткових корисних навантажень.
- UNC4108 – група з незрозумілими мотивами, яку спостерігали за використанням PowerShell для розповсюдження шкідливих програм, таких як VOLTMARKER та NetSupport RAT.
Це демонструє, як ClickFix слугує шлюзом для різноманітних шкідливих подальших дій.
Всередині CORNFLAKE.V3
Бекдор CORNFLAKE.V3 існує як у варіантах JavaScript, так і PHP. Він призначений для:
- Виконуйте різні корисні навантаження через HTTP, включаючи виконувані файли, DLL, JavaScript, пакетні файли та команди PowerShell.
- Зберіть основні системні дані та надішліть їх на контрольований зловмисником сервер через тунелі Cloudflare для приховування.
На відміну від свого попередника V2, який функціонував лише як завантажувач, V3 впроваджує збереження даних шляхом зміни розділів реєстру Windows та підтримує ширший діапазон корисних навантажень. Через нього було розповсюджено щонайменше три корисні навантаження, зокрема:
- Інструмент розвідки Active Directory
- Скрипт Kerberoasting для крадіжки облікових даних
WINDYTWIST.SEA, бекдор на основі C з такими можливостями, як зворотний доступ до оболонки, ретрансляція TCP-трафіку та латеральний рух
Чому ClickFix небезпечний
Метод ClickFix набрав обертів у колах кіберзлочинців, оскільки він значною мірою залежить від взаємодії з людиною. Користувачів маніпулюють, змушуючи їх виконувати команди самостійно, обходячи багато автоматизованих інструментів безпеки. Звичайні вектори доставки включають:
- Фішингові електронні листи
- Кампанії зі шкідливою рекламою
- Компрометація веб-сайтів, що проходять через Drive-by
Щоб підвищити довіру, зловмисники часто видають себе за відомі бренди, перевірки Cloudflare або навіть верифікації серверів Discord.
Комерціалізація комплектів ClickFix
З кінця 2024 року конструктори ClickFix з'являються на підпільних форумах під назвою «комплекти Win + R». Ціни зазвичай коливаються від 200 до 1500 доларів на місяць, залежно від функцій. Окремі компоненти, такі як вихідний код, цільові сторінки або скрипти командного рядка, часто продаються окремо за 200–500 доларів.
Деякі розширені комплекти поєднують конструктори ClickFix з іншими завантажувачами шкідливих програм і пропонують:
- Готові цільові сторінки з різними приманками
- Команди, які гарантовано обходять виявлення антивірусом
- Варіанти для збереження та уникнення SmartScreen
Оборонні заходи
Щоб протидіяти інфекціям на основі ClickFix, організаціям слід вживати проактивних заходів захисту. Рекомендовані кроки включають:
- Обмеження або вимкнення діалогового вікна «Виконати» Windows, де це можливо.
- Проведення регулярних симуляцій фішингу та соціальної інженерії для навчання користувачів.
- Впровадження надійного логування та моніторингу для швидкого виявлення незвичайних виконань PowerShell або скриптів.
Зосереджуючись як на профілактиці, так і на ранньому виявленні, організації можуть значно зменшити ризик, пов'язаний з кампаніями, що включають ClickFix та CORNFLAKE.V3.
