Ein Getreide-Straftäter: Analy... Notiz

Ein Getreide-Straftäter: Analyse der CORNFLAKE.V3-Hintertür

Die Frontline Bulletin Series von Mandiant beschreibt eine Kampagne, an der die Bedrohungsgruppen UNC5518 und UNC5774 beteiligt sind und die zur Bereitstellung der CORNFLAKE.V3-Malware führte. UNC5518 kompromittiert Websites, um gefälschte CAPTCHA-Seiten anzuzeigen und verwendet eine Technik namens ClickFix, um Opfer dazu zu verleiten, Downloader-Skripte auszuführen. Diese Skripte erleichtern dann Malware-Infektionen durch andere Bedrohungsakteure und fungieren als Access-as-a-Service-Anbieter. UNC5774 ist eine finanziell motivierte Gruppe, die dafür bekannt ist, die CORNFLAKE-Backdoor zu nutzen, um verschiedene Payloads bereitzustellen. CORNFLAKE.V3 ist eine aktualisierte Backdoor, die in JavaScript oder PHP geschrieben ist und Payloads wie ausführbare Dateien und DLLs abrufen und ausführen kann. Sie stellt außerdem die Host-Persistenz über Registry Run-Schlüssel her und missbraucht Cloudflare Tunnels für die C2-Kommunikation. Die analysierte Kampagne begann mit verdächtigen PowerShell-Aktivitäten auf einem Host, die auf einen Benutzer zurückgeführt wurden, der mit einer gefälschten CAPTCHA-Seite interagierte. Diese Seite kopierte einen bösartigen PowerShell-Befehl in die Zwischenablage, der dann über das Windows-Ausführen-Dialogfeld ausgeführt wurde. Der PowerShell-Dropper lädt Node.js herunter und extrahiert es und verwendet dann node.exe, um die base64-kodierte CORNFLAKE.V3-Backdoor-Payload auszuführen. Der Dropper enthält Anti-Virtual-Machine-Prüfungen und wird beendet, wenn er niedrige Systemressourcen oder bestimmte virtualisierte Umgebungen erkennt. Nach der Ausführung führt CORNFLAKE.V3 eine Aufklärung durch, stellt die Persistenz her und versucht, Anmeldeinformationen durch Methoden wie Kerberoasting zu sammeln.
CdXz5zHNQW_xgNLUPu9Yd.jpeg