Tehdit aktörleri, Cornhe adlı çok yönlü bir arka kapı kodunu dağıtmak için ClickFix olarak bilinen aldatıcı sosyal mühendislik taktiğinden yararlandılar.
Google’ın sahip olduğu Mandiant, UNC5518 olarak izlediği etkinliği, kullanıcıları sistemlerine ilk erişim sağlamak için kandırmak için lures olarak sahte captcha sayfalarını kullanan bir hizmet olarak erişim şemasının bir parçası olarak tanımladı.
Google, bugün yayınlanan bir raporda, “İlk enfeksiyon vektörü, ClickFix olarak adlandırıldı, kullanıcıları kötü niyetli bir PowerShell komut dosyasını kopyalamak ve Windows Run iletişim kutusu üzerinden yürütmek için güvenliği ihlal edilmiş web sitelerinde cezbetmeyi içeriyor.” Dedi.
UNC5518 tarafından sağlanan erişimin, çok aşamalı bir enfeksiyon işlemi başlatmak ve ek yükleri bırakmak için en az iki farklı hack grubu olan UNC5774 ve UNC4108 tarafından kullanıldığı değerlendirilir –
- UNC5774, CornFlake’i sonraki çeşitli yükleri dağıtmanın bir yolu olarak sunan bir finansal olarak motive olmuş bir grup olan
- UNC4108, Voltmarker ve Netsupport Rat gibi araçları dağıtmak için PowerShell’i kullanan bilinmeyen motivasyona sahip bir tehdit aktörü
Saldırı zinciri, kurbanın arama motoru optimizasyonu (SEO) zehirlenmesi veya kötü niyetli reklamlar kullanan arama sonuçlarıyla etkileşime girdikten sonra sahte bir Captcha doğrulama sayfası açmasıyla başlar.
Daha sonra kullanıcı, Windows Run iletişim kutusunu başlatarak kötü niyetli bir PowerShell komutunu çalıştırmak için kandırılır ve bu da bir sonraki aşamalı damlalık yükünü uzak bir sunucudan yürütür. Yeni indirilen komut dosyası, sanallaştırılmış bir ortamda çalışıp çalışmadığını kontrol eder ve sonuçta mısır ekibi başlatır.
Hem JavaScript hem de PHP sürümlerinde gözlemlenen Cornphlake.v3, yürütülebilir ürünler, Dinamik-Link Kütüphaneleri (DLLS), JavaScript dosyaları, toplu komut dosyaları ve PowerShell komutları dahil olmak üzere HTTP aracılığıyla yüklerin yürütülmesini destekleyen bir arka kapıdır. Ayrıca temel sistem bilgilerini toplayabilir ve harici bir sunucuya iletebilir. Tapınak, tespit edilmeden kaçınmak için Cloudflare tünelleri aracılığıyla proxiged.
Mantian araştırmacısı Marco Galli, “Cornflake.v3, kod tabanının önemli bir bölümünü paylaşan Cornflake.v2’nin güncellenmiş bir versiyonudur.” Dedi. “Yalnızca bir indirici olarak çalışan V2’nin aksine, V3, bir kayıt defteri çalıştırma anahtarı aracılığıyla ana bilgisayar kalıcılığını içerir ve ek yük türlerini destekler.”
Her iki nesil de, komut ve kontrol (C2) iletişimi için TCP soketlerini kullanan ve yalnızca DLL yüklerini çalıştırma yeteneğine sahip olan C tabanlı bir indirici olan progenitörlerinden belirgin şekilde farklıdır.
Ana bilgisayardaki kalıcılık, Windows kayıt defteri değişiklikleri ile elde edilir. En az üç farklı yük, Cornflake.V3 üzerinden teslim edilir. Bu, bir Active Directory keşif hizmeti, Kerberoasting aracılığıyla kimlik bilgilerini hasat etmek için bir senaryo ve Windytwist.sea, TCP trafiğinin aktarılmasını destekleyen, ters kabuk sağlayan, komutlar yürütmeyi ve kendini kaldırmayı destekleyen Windytwist.sea olarak adlandırılan başka bir arka kapıdan oluşur.
Enfekte makine ağında yanal olarak hareket etmeye çalışırken Windytwist.SEA’nın belirli versiyonları da gözlenmiştir.
Galli, “ClickFix aracılığıyla kötü amaçlı yazılım yürütmeyi azaltmak için kuruluşlar mümkün olduğunca Windows Run iletişim kutusunu devre dışı bırakmalıdır.” Dedi. “Düzenli simülasyon egzersizleri bu ve diğer sosyal mühendislik taktiklerine karşı koymak için çok önemlidir. Ayrıca, mısır ekibi
USB enfeksiyonu damlaları xmrig madenci
Açıklama, tehdit istihbarat firması, Eylül 2024’ten bu yana diğer ev sahiplerini enfekte etmek ve kripto para madencilerini dağıtmak için USB sürücülerini kullanan devam eden bir kampanyayı detaylandırıyor.
Mantiant, “Bu, enfekte olmuş USB sürücüleri yoluyla başlangıç erişiminin sürekli etkinliğini gösteriyor.” Dedi. “Ağ güvenliğini atlama düşük maliyet ve yeteneği bu tekniği saldırganlar için zorlayıcı bir seçenek haline getiriyor.”
Saldırı zinciri, bir kurbanın tehlikeye atılan USB sürücüsünde bir Windows kısayolu (LNK) yürütülmesi için kandırıldığında başlar. LNK dosyası, aynı klasörde bulunan görsel bir Basic komut dosyasının yürütülmesi ile sonuçlanır. Script, kendi adına, enfeksiyonu başlatmak için bir parti komut dosyası başlatır –
- KirliCutfail gibi diğer kötü amaçlı bileşenlerin yürütülmesini başlatmak için bir C ++ DLL başlatıcısı
- CutfailHighReps ve Pumpbench gibi bir sisteme kötü amaçlı yazılımları şifrelemek ve kurmaktan sorumlu bir C ++ kötü amaçlı yazılım damlası ve OpenSSL, Libcurl ve WinPthreadGC gibi üçüncü kibirler
- YükseklikPumpbench’in kalıcılığını sağlamak için ek dosyalar alan bir indirici
- Pompabenchkeşifleri kolaylaştıran bir C ++ arka kapı, bir PostgreSQL veritabanı sunucusuyla iletişim kurarak uzaktan erişim sağlar ve XMRIG’yi indirin
- XmrigMonero, Dero ve Ravencoin gibi kripto para madenciliği için açık kaynaklı bir yazılım
Mantiant, “Pumpbench, USB sürücüleri enfekte ederek yayılıyor.” Dedi. “Sistemi kullanılabilir sürücüler için tarar ve daha sonra bir toplu dosya, bir VBScript dosyası, bir kısayol dosyası ve bir DAT dosyası oluşturur.”