Cửa sau của Cornflake.V3
Các tác nhân đe dọa đang ngày càng lợi dụng một kỹ thuật lừa đảo được gọi là ClickFix để phát tán một backdoor tinh vi, CORNFLAKE.V3. Các nhà nghiên cứu bảo mật theo dõi hoạt động này, được chỉ định là UNC5518, đã liên kết nó với một hoạt động truy cập dưới dạng dịch vụ, trong đó các trang CAPTCHA giả mạo lừa nạn nhân thực hiện các lệnh độc hại. Sau khi giành được quyền truy cập, nó sẽ được bán lại hoặc chia sẻ với các nhóm tội phạm mạng khác để khai thác thêm.
Mục lục
Cuộc tấn công bắt đầu như thế nào
Chuỗi lây nhiễm thường bắt đầu khi người dùng tương tác với kết quả tìm kiếm bị nhiễm độc SEO hoặc quảng cáo độc hại. Nạn nhân được chuyển hướng đến một trang xác minh CAPTCHA giả mạo, được thiết kế giống với Turnstile của Cloudflare hoặc các dịch vụ hợp pháp khác. Tưởng rằng mình đang giải quyết được một bài toán xác minh, người dùng lại được hướng dẫn sao chép và dán một tập lệnh PowerShell độc hại vào hộp thoại Run của Windows, tạo cơ hội cho kẻ tấn công lợi dụng.
Sự tham gia của tác nhân đe dọa
Quyền truy cập bị đánh cắp từ các chiến dịch UNC5518 đã được ít nhất hai nhóm riêng biệt sử dụng:
- UNC5774 – một tác nhân có động cơ tài chính cung cấp BÁNH NGÔ để triển khai thêm tải trọng.
- UNC4108 – một nhóm có động cơ không rõ ràng, đã phát hiện sử dụng PowerShell để phát tán phần mềm độc hại như VOLTMARKER và NetSupport RAT.
Điều này chứng minh ClickFix đóng vai trò như một cổng cho nhiều hoạt động theo dõi độc hại.
Bên trong CORNFLAKE.V3
Cửa hậu CORNFLAKE.V3 tồn tại trong cả hai phiên bản JavaScript và PHP. Nó được thiết kế để:
- Thực thi nhiều tải trọng khác nhau thông qua HTTP, bao gồm các tệp thực thi, DLL, JavaScript, tệp hàng loạt và lệnh PowerShell.
- Thu thập dữ liệu hệ thống cơ bản và gửi đến máy chủ do kẻ tấn công kiểm soát thông qua đường hầm Cloudflare để che giấu.
Không giống như phiên bản V2 trước đó, vốn chỉ hoạt động như một trình tải xuống, V3 bổ sung tính năng bền bỉ bằng cách sửa đổi các khóa Run của Windows Registry và hỗ trợ nhiều loại tải trọng hơn. Ít nhất ba tải trọng đã được phân phối thông qua phiên bản này, bao gồm:
- Một công cụ trinh sát Active Directory
- Một tập lệnh Kerberoasting để đánh cắp thông tin xác thực
WINDYTWIST.SEA, một cửa hậu dựa trên C với các khả năng như truy cập shell ngược, chuyển tiếp lưu lượng TCP và di chuyển ngang
Tại sao ClickFix lại nguy hiểm
Phương pháp ClickFix đã trở nên phổ biến trong giới tội phạm mạng vì nó phụ thuộc rất nhiều vào tương tác giữa người dùng và máy tính. Người dùng bị thao túng để tự chạy lệnh, bỏ qua nhiều công cụ bảo mật tự động. Các phương thức lây lan phổ biến bao gồm:
- Email lừa đảo
- Các chiến dịch quảng cáo độc hại
- Sự xâm phạm của trang web Drive-by
Để tăng độ tin cậy, kẻ tấn công thường mạo danh các thương hiệu nổi tiếng, kiểm tra Cloudflare hoặc thậm chí xác minh máy chủ Discord.
Thương mại hóa Bộ dụng cụ ClickFix
Từ cuối năm 2024, các trình xây dựng ClickFix đã xuất hiện trên các diễn đàn ngầm, được quảng cáo là bộ công cụ "Win + R". Giá thường dao động từ 200 đến 1.500 đô la mỗi tháng, tùy thuộc vào tính năng. Các thành phần riêng lẻ, chẳng hạn như mã nguồn, trang đích hoặc tập lệnh dòng lệnh, thường được bán riêng với giá từ 200 đến 500 đô la.
Một số bộ công cụ nâng cao kết hợp trình xây dựng ClickFix với các trình tải phần mềm độc hại khác và cung cấp:
- Các trang đích được thiết kế sẵn với nhiều mồi nhử khác nhau
- Các lệnh đảm bảo vượt qua được sự phát hiện của phần mềm diệt vi-rút
- Tùy chọn cho tính bền bỉ và tránh SmartScreen
Các biện pháp phòng thủ
Để chống lại các cuộc tấn công dựa trên ClickFix, các tổ chức nên áp dụng các biện pháp phòng thủ chủ động. Các bước được khuyến nghị bao gồm:
- Hạn chế hoặc vô hiệu hóa hộp thoại Chạy của Windows nếu có thể.
- Tiến hành mô phỏng lừa đảo và kỹ thuật xã hội thường xuyên để đào tạo người dùng.
- Triển khai ghi nhật ký và giám sát mạnh mẽ để nhanh chóng phát hiện các lệnh PowerShell hoặc tập lệnh bất thường.
Bằng cách tập trung vào cả phòng ngừa và phát hiện sớm, các tổ chức có thể giảm đáng kể rủi ro do các chiến dịch liên quan đến ClickFix và CORNFLAKE.V3 gây ra.
