Triển khai cửa hậu CORNFLAKE.V3 thông qua ClickFix và các trang CAPTCHA giả mạo

[Starlink]

Các tác nhân đe dọa đã bị phát hiện đang lợi dụng chiến thuật kỹ thuật xã hội lừa đảo được gọi là ClickFix để triển khai một cửa hậu đa năng có tên mã là CORNFLAKE.V3.

Mandiant, thuộc sở hữu của Google, đã mô tả hoạt động này, được theo dõi là UNC5518, là một phần của chương trình truy cập dưới dạng dịch vụ, sử dụng các trang CAPTCHA giả mạo làm mồi nhử để lừa người dùng cung cấp quyền truy cập ban đầu vào hệ thống của họ, sau đó được các nhóm đe dọa khác kiếm tiền.

"Phương thức lây nhiễm ban đầu, được gọi là ClickFix, bao gồm việc dụ người dùng trên các trang web bị xâm nhập sao chép một tập lệnh PowerShell độc hại và thực thi nó thông qua hộp thoại Run của Windows", Google cho biết trong một báo cáo được công bố hôm nay.

Quyền truy cập do UNC5518 cung cấp được đánh giá là đã bị ít nhất hai nhóm tin tặc khác nhau, UNC5774 và UNC4108, lợi dụng để bắt đầu quá trình lây nhiễm nhiều giai đoạn và thả thêm các tải trọng:

UNC5774, một nhóm khác có động cơ tài chính, phát tán CORNFLAKE như một cách để triển khai các tải trọng tiếp theo

UNC4108, một tác nhân đe dọa chưa rõ động cơ, sử dụng PowerShell để triển khai các công cụ như VOLTMARKER và NetSupport RAT

Chuỗi tấn công có thể bắt đầu bằng việc nạn nhân truy cập vào một trang xác minh CAPTCHA giả mạo sau khi tương tác với các kết quả tìm kiếm sử dụng mã độc tối ưu hóa công cụ tìm kiếm (SEO) hoặc quảng cáo độc hại.

Sau đó, người dùng bị lừa chạy lệnh PowerShell độc hại bằng cách khởi chạy hộp thoại Run của Windows, sau đó thực thi tải trọng dropper giai đoạn tiếp theo từ một máy chủ từ xa. Tập lệnh mới tải xuống sẽ kiểm tra xem nó có đang chạy trong môi trường ảo hóa hay không và cuối cùng khởi chạy CORNFLAKE.V3.

Được phát hiện trong cả phiên bản JavaScript và PHP, CORNFLAKE.V3 là một backdoor hỗ trợ thực thi các payload qua HTTP, bao gồm các tệp thực thi, thư viện liên kết động (DLL), tệp JavaScript, tập lệnh batch và lệnh PowerShell. Nó cũng có thể thu thập thông tin hệ thống cơ bản và truyền đến máy chủ bên ngoài. Lưu lượng được chuyển tiếp qua các đường hầm Cloudflare nhằm tránh bị phát hiện.

"CORNFLAKE.V3 là phiên bản cập nhật của CORNFLAKE.V2, chia sẻ một phần đáng kể cơ sở mã của nó", nhà nghiên cứu Marco Galli của Mandiant cho biết. "Không giống như V2, chỉ hoạt động như một trình tải xuống, V3 có tính năng duy trì máy chủ thông qua khóa Run của sổ đăng ký và hỗ trợ các loại payload bổ sung."

Cả hai thế hệ đều khác biệt đáng kể so với phiên bản tiền nhiệm của chúng, một trình tải xuống dựa trên C sử dụng socket TCP cho giao tiếp lệnh và điều khiển (C2) và chỉ có khả năng chạy payload DLL.

Tính duy trì trên máy chủ được đạt được thông qua các thay đổi của Windows Registry. Ít nhất ba tải trọng khác nhau được phân phối thông qua CORNFLAKE.V3. Bao gồm một tiện ích do thám Active Directory, một tập lệnh để thu thập thông tin đăng nhập thông qua Kerberoasting, và một backdoor khác được gọi là WINDYTWIST.SEA, một phiên bản C của WINDYTWIST hỗ trợ chuyển tiếp lưu lượng TCP, cung cấp một shell ngược, thực thi các lệnh và tự xóa chính nó.

Một số phiên bản WINDYTWIST.SEA cũng đã được quan sát thấy đang cố gắng di chuyển ngang trong mạng của máy bị nhiễm.

"Để giảm thiểu việc thực thi phần mềm độc hại thông qua ClickFix, các tổ chức nên tắt hộp thoại Run của Windows nếu có thể", Galli nói. "Các bài tập mô phỏng thường xuyên là rất quan trọng để chống lại điều này và các chiến thuật kỹ thuật xã hội khác. Hơn nữa, các hệ thống ghi nhật ký và giám sát mạnh mẽ là điều cần thiết để phát hiện việc thực thi các tải trọng tiếp theo, chẳng hạn như các tải trọng liên quan đến CORNFLAKE.V3."

Nhiễm trùng USB làm giảm XMRig Miner

Tiết lộ này được đưa ra khi công ty tình báo mối đe dọa nêu chi tiết về một chiến dịch đang diễn ra, sử dụng ổ USB để lây nhiễm các máy chủ khác và triển khai các máy đào tiền điện tử kể từ tháng 9 năm 2024.

"Điều này chứng minh tính hiệu quả liên tục của việc truy cập ban đầu thông qua ổ USB bị nhiễm," Mandiant cho biết. "Chi phí thấp và khả năng vượt qua bảo mật mạng khiến kỹ thuật này trở thành một lựa chọn hấp dẫn đối với kẻ tấn công."

Chuỗi tấn công bắt đầu khi nạn nhân bị lừa thực thi một phím tắt Windows (LNK) trong ổ USB bị xâm nhập. Tệp LNK dẫn đến việc thực thi một tập lệnh Visual Basic cũng nằm trong cùng thư mục. Về phần mình, tập lệnh khởi chạy một tập lệnh hàng loạt để bắt đầu lây nhiễm:

DIRTYBULK, một trình khởi chạy DLL C++ để bắt đầu thực thi các thành phần độc hại khác, chẳng hạn như CUTFAIL
CUTFAIL, một trình thả phần mềm độc hại C++ chịu trách nhiệm giải mã và cài đặt phần mềm độc hại vào hệ thống, chẳng hạn như HIGHREPS và PUMPBENCH, cũng như các thư viện thứ ba như OpenSSL, libcurl và WinPthreadGC
HIGHREPS, một trình tải xuống truy xuất các tệp bổ sung để đảm bảo tính tồn tại của PUMPBENCH
PUMPBENCH, một cửa hậu C++ hỗ trợ do thám, cung cấp quyền truy cập từ xa bằng cách giao tiếp với máy chủ cơ sở dữ liệu PostgreSQL và tải xuống XMRig
XMRig, một phần mềm mã nguồn mở để khai thác tiền điện tử như Monero, Dero và Ravencoin

"PUMPBENCH lây lan bằng cách lây nhiễm các ổ USB," Mandiant cho biết. "Nó quét hệ thống để tìm các ổ đĩa khả dụng và sau đó tạo một tệp hàng loạt, một tệp VBScript, một tệp lối tắt và một tệp DAT