CORNFLAKE.V3後門

威脅行為者越來越多地利用一種名為 ClickFix 的欺騙技術來傳播複雜的後門程式 CORNFLAKE.V3。追蹤該活動（編號為 UNC5518）的安全研究人員已將其與一個「存取即服務」操作聯繫起來，該操作利用偽造的驗證碼頁面誘騙受害者執行惡意命令。一旦獲得存取權限，攻擊者就會將其轉售或與其他網路犯罪集團共享，以供進一步利用。

攻擊如何開始

感染鏈通常始於用戶與受 SEO 污染的搜尋結果或惡意廣告互動時。受害者會被重新導向到一個偽造的 CAPTCHA 驗證頁面，該頁面設計得類似於 Cloudflare 的 Turnstile 或其他合法服務。使用者誤以為自己正在解決驗證問題，於是被引導將惡意的 PowerShell 腳本複製並貼上到 Windows 的「執行」對話方塊中，從而為攻擊者提供了立足點。

威脅行為者的參與

從 UNC5518 活動中竊取的存取權限至少被兩個不同的團體利用：

• UNC5774 – 一個以經濟利益為目的的攻擊者，利用 CORNFLAKE 來部署額外的有效載荷。
• UNC4108 - 一個動機不明的組織，據觀察，該組織使用 PowerShell 植入 VOLTMARKER 和 NetSupport RAT 等惡意軟體。

這表明 ClickFix 如何成為各種惡意後續活動的門戶。

CORNFLAKE.V3 內部

CORNFLAKE.V3 後門存在於 JavaScript 和 PHP 變體中。其目的如下：

• 透過 HTTP 執行不同的有效負載，包括可執行檔、DLL、JavaScript、批次檔和 PowerShell 指令。
• 收集基本系統數據，並透過 Cloudflare 隧道將其傳送到攻擊者控制的伺服器進行隱藏。

與前身 V2 僅用作下載程式不同，V3 透過修改 Windows 註冊表運行鍵來引入持久性，並支援更廣泛的有效載荷。至少有三種有效載荷透過它進行分發，包括：

• Active Directory 偵察工具
• 用於竊取憑證的 Kerberoasting 腳本

WINDYTWIST.SEA，一個基於 C 語言的後門，具有反向 shell 存取、TCP 流量中繼和橫向移動等功能

為什麼 ClickFix 很危險

ClickFix 方法在網路犯罪界頗具影響力，因為它高度依賴人機互動。攻擊者會誘使用戶自行執行命令，從而繞過許多自動化安全工具。常見的傳播媒介包括：

• 網路釣魚電子郵件
• 惡意廣告活動
• 路過型網站入侵

為了增加可信度，攻擊者經常冒充知名品牌、Cloudflare 檢查，甚至 Discord 伺服器驗證。

ClickFix 套件的商業化

自 2024 年底以來，ClickFix 建構器出現在地下論壇上，並以「Win + R」套件的形式銷售。價格通常在每月 200 美元到 1500 美元之間，具體取決於功能。單一元件（例如原始程式碼、登入頁面或命令列腳本）通常單獨出售，價格為 200 至 500 美元。

一些高級工具包將 ClickFix 建構器與其他惡意軟體載入器捆綁在一起，並提供：

• 具有不同誘惑的現成登陸頁面
• 保證繞過防毒偵測的命令
• 持久性和 SmartScreen 規避選項

防禦措施

為了應對基於 ClickFix 的感染，企業應採取主動防禦措施。建議採取以下措施：

• 在可行的情況下限製或停用 Windows 運行對話方塊。
• 定期進行網路釣魚和社會工程模擬來培訓使用者。
• 實作強大的日誌記錄和監控，以快速偵測異常的 PowerShell 或腳本執行。

透過專注於預防和早期檢測，組織可以顯著降低涉及 ClickFix 和 CORNFLAKE.V3 的活動帶來的風險。