Finansal olarak motive olmuş tehdit grubu UNC5518, Haziran 2024’ten beri izlenen karmaşık bir siber kampanyanın bir parçası olarak yanıltıcı sahte captcha sayfaları olan ClickFix lurs’u yüklemek için güvenilir web sitelerine sızıyor.
Bu kötü niyetli sayfalar, kullanıcıları enfeksiyon zincirlerini başlatan indirici komut dosyalarını yürütmeye yönlendirir ve genellikle bağlı aktörler tarafından kötü amaçlı yazılım dağıtımına yol açar.
Maniant Tehdit Savunması, UNC5518’in hizmet olarak erişim sağlayıcısı olarak faaliyet gösterdiğini ve UNC5774 gibi grupların Cornflake.v3 gibi gelişmiş arka fırınları dağıtmak için kazanılan erişimden yararlanmasını sağladı.
Bu işbirliği, ilk erişim brokerlerinin keşif, kimlik gerçeği hırsızlığı ve yan hareket yoluyla finansal kazançlara odaklanan uzman aktörlerin daha derin müdahalelerini kolaylaştırdığı modern tehditlerin modüler doğasını vurgulamaktadır.
Cornflake.v3’ün teknik dökümü
UNC5774’e atfedilen Cornflake.v3 arka kapı, daha önceki varyantlardan bir evrimi temsil eder, C tabanlı indiricilerden JavaScript’e geçiş veya xor kodlama ile HTTP tabanlı komut ve kontrol (C2) iletişimini destekleyen PHP uygulamalarına geçer.
%20attack%20lifecycle.webp)
Kalıcılığa sahip olmayan Cornflake.v2’nin aksine, V3, uzun ömür için kayıt defteri çalışma anahtarlarını içerir ve yürütülebilir ürünler, DLL’ler, javascript, toplu komut dosyaları ve Powershell komutları dahil olmak üzere çeşitli yükleri işler.
Enfeksiyonlar genellikle kötü niyetli PowerShell komut dosyalarını JavaScript aracılığıyla panoya kopyalayan ve Windows Run iletişim kutusundan yürütülmesini isteyen ClickFix sayfalarıyla etkileşime giren kullanıcılarla başlar.
Bu, meşru kaynaklardan Node.js veya PHP çalışma zamanlarının indirilmesine, bunları %AppData %’a çıkarmaya ve gömülü arka kapı kodunu çalıştırmaya yol açar.
Damlalı komut dosyalarındaki anti-VM kontrolleri, bellek kullanımını, bilgisayar adlarını ve qemu gibi üreticileri analiz ederek kum havuzlarını tespit ederek kontrollü ortamlarda kaçırma sağlar.
Aktif olduktan sonra, Cornflake.v3, SystemInfo, Görev Listesi ve ARP gibi araçları kullanarak ev sahibi keşif gerçekleştirirken, Hizmet Ana Adları (SPNS) aracılığıyla kimlik bilgisi hasat için Kerberoasting’i dener.
Gözlemlenen durumlarda, etki alanı bilgisayarlarını sayan, güvenleri numaralandıran, denetleyicileri listeleyen ve yönetici gruplarının ana bilgisayarın birleştirilip birleşmediğini belirleyen aktif dizin sorguları için toplu komut dosyaları yürüttü.
Bir PHP varyantı, C2 proxying için Cloudflare tünelleri, kalıcılık için rastgele kayıt defteri anahtar adlarını ve DLL’leri .png dosyaları olarak kaydetmek ve JavaScript yürütme için node.js indirmelerini entegre etmek gibi değiştirilmiş yükü kullanma kullanarak bunu rafine eder.
Bu varyant aynı zamanda kalp atışları için Active ve kurulum için Autorun gibi komutları da tanıttı ve tespite karşı yinelemeli iyileştirmeler gösterdi.
Ek Yükler
Daha fazla analiz, dayanıklılık için birden fazla C2 sunucusu ile yapılandırılmış TCP röle, ters kabuklar ve komut yürütmeyi destekleyen C tabanlı bir implant olan Windytwist.SEA Backdoor’un dağıtılması.
Process ağaçları, node.exe veya php.exe’yi başlatan, keşif ve rundll32.exe DLL yüklerinin yürütülmesine yol açan explorer.exe yumurtlama PowerShell’i gösterir.
Bu tehditlere karşı koymak için kuruluşlar, Windows Run iletişim kutusunu uygulanabilir durumlarda devre dışı bırakmalı, sosyal mühendislik simülasyonları yürütmeli ve PowerShell başlatma Node.js gibi şüpheli etkinlikler için %AppData %.
Google güvenlik işlemlerinde algılama sorguları, olağandışı işlem lansmanları ve nodejs.org veya windows.php.net’e ağ bağlantıları gibi hedef göstergeler.
Sonuç olarak, bu kampanya, UNC5518 ve UNC5774’ün tehdit aktör simbiyozunu örneklendirmesi ile çok yönlü kötü amaçlı yazılımlar sunmada sosyal mühendislik risklerinin altını çizmektedir. Proaktif izleme ve kullanıcı eğitimi bu tür zincirleri bozmak için kritik öneme sahiptir.
Uzlaşma temel göstergeleri (IOCS)
| Tip | Artefakt | Tanım | SHA-256/IP/Etki Alanı |
|---|---|---|---|
| Dosya | C: \ Kullanıcılar |
Cornflake.v3 (Node.js) kalıcılık dosyası | 000b24076cae8db00b46bb5918a0da5a940e325eaac7d86854006ec071ac5b |
| Sicil | HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \ ChromeUpdater | Cornflake.v3 (Node.js) Çalıştır anahtarı | N/A |
| Dosya | C: \ Kullanıcılar |
Cornflake.v3 (PHP) örneği | A2D4E8C3094C959E144F46B16B40ED29CC4636B8861615B69979F0A44F9A2D1 |
| Dosya | C: \ Kullanıcılar |
Windytwist.SEA Backdoor | 14f9fbf7e82888bdc9c314872bf0509835a464d1f03cd8e1a629d0c4d268b0c |
| Ağ | 138.199.161.141 | UNC5518 Dağıtım IP | N/A |
| Ağ | 159.69.3.151 | Cornflake.v3 (Node.js) C2 | N/A |
| Ağ | Varying-Rentals-Calgary-Predict.trycloudflare.com | Cornflake.v3 (PHP) C2 | N/A |
| Ağ | 167.235.235.151; 128.140.120.188; 177.136.225.135 | Windytwist.SEA C2 Sunucuları | N/A |
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!