CORNFLAKE.V3后门

威胁行为者越来越多地利用一种名为 ClickFix 的欺骗技术来传播复杂的后门程序 CORNFLAKE.V3。追踪该活动（编号为 UNC5518）的安全研究人员已将其与一个“访问即服务”操作联系起来，该操作利用伪造的验证码页面诱骗受害者执行恶意命令。一旦获得访问权限，攻击者就会将其转售或与其他网络犯罪集团共享，以供进一步利用。

攻击如何开始

感染链通常始于用户与受 SEO 污染的搜索结果或恶意广告互动时。受害者会被重定向到一个伪造的 CAPTCHA 验证页面，该页面设计得类似于 Cloudflare 的 Turnstile 或其他合法服务。用户误以为自己正在解决验证问题，于是被引导将恶意的 PowerShell 脚本复制并粘贴到 Windows 的“运行”对话框中，从而为攻击者提供了立足点。

威胁行为者的参与

从 UNC5518 活动中窃取的访问权限至少被两个不同的团体利用：

• UNC5774 – 一个以经济利益为目的的攻击者，利用 CORNFLAKE 来部署额外的有效载荷。
• UNC4108 - 一个动机不明的组织，据观察，该组织使用 PowerShell 植入 VOLTMARKER 和 NetSupport RAT 等恶意软件。

这表明 ClickFix 如何成为各种恶意后续活动的门户。

CORNFLAKE.V3 内部

CORNFLAKE.V3 后门存在于 JavaScript 和 PHP 变体中。其目的如下：

• 通过 HTTP 执行不同的有效负载，包括可执行文件、DLL、JavaScript、批处理文件和 PowerShell 命令。
• 收集基本系统数据，并通过 Cloudflare 隧道将其发送到攻击者控制的服务器进行隐藏。

与前身 V2 仅用作下载程序不同，V3 通过修改 Windows 注册表运行键来引入持久性，并支持更广泛的有效载荷。至少有三种有效载荷通过它进行分发，包括：

• Active Directory 侦察工具
• 用于窃取凭证的 Kerberoasting 脚本

WINDYTWIST.SEA，一个基于 C 语言的后门，具有反向 shell 访问、TCP 流量中继和横向移动等功能

为什么 ClickFix 很危险

ClickFix 方法在网络犯罪界颇具影响力，因为它高度依赖人机交互。攻击者会诱使用户自行运行命令，从而绕过许多自动化安全工具。常见的传播媒介包括：

• 网络钓鱼电子邮件
• 恶意广告活动
• 路过型网站入侵

为了增加可信度，攻击者经常冒充知名品牌、Cloudflare 检查，甚至 Discord 服务器验证。

ClickFix 套件的商业化

自 2024 年末以来，ClickFix 构建器出现在地下论坛上，并以“Win + R”套件的形式销售。价格通常在每月 200 美元到 1500 美元之间，具体取决于功能。单个组件（例如源代码、登录页面或命令行脚本）通常单独出售，价格为 200 至 500 美元。

一些高级工具包将 ClickFix 构建器与其他恶意软件加载器捆绑在一起，并提供：

• 具有不同诱惑的现成登陆页面
• 保证绕过防病毒检测的命令
• 持久性和 SmartScreen 规避选项

防御措施

为了应对基于 ClickFix 的感染，企业应采取主动防御措施。建议采取以下措施：

• 在可行的情况下限制或禁用 Windows 运行对话框。
• 定期进行网络钓鱼和社会工程模拟来培训用户。
• 实施强大的日志记录和监控，以快速检测异常的 PowerShell 或脚本执行。

通过注重预防和早期检测，组织可以显著降低涉及 ClickFix 和 CORNFLAKE.V3 的活动带来的风险。