Un Ofensor de Cereal: Analizan... Nota

Un Ofensor de Cereal: Analizando la Puerta Trasera CORNFLAKE.V3

La serie "Frontline Bulletin" de Mandiant detalla una campaña que involucra a los grupos de amenazas UNC5518 y UNC5774, lo que condujo al despliegue del malware CORNFLAKE.V3. UNC5518 compromete sitios web para servir páginas falsas de CAPTCHA, utilizando una técnica llamada ClickFix para atraer a las víctimas a ejecutar scripts descargadores. Estos scripts luego facilitan las infecciones de malware por parte de otros actores de amenazas, actuando como un proveedor de acceso como servicio. UNC5774 es un grupo con motivaciones financieras conocido por utilizar la puerta trasera CORNFLAKE para desplegar varias cargas útiles. CORNFLAKE.V3 es una puerta trasera actualizada escrita en JavaScript o PHP, capaz de recuperar y ejecutar cargas útiles como ejecutables y DLL. También establece persistencia del host a través de claves de registro "Run" y abusa de los túneles de Cloudflare para la comunicación C2. La campaña analizada comenzó con actividad sospechosa de PowerShell en un host, rastreada hasta un usuario que interactuaba con una página falsa de CAPTCHA. Esta página copió un comando malicioso de PowerShell al portapapeles, que luego fue ejecutado a través del cuadro de diálogo "Ejecutar" de Windows. El descargador de PowerShell descarga y extrae Node.js, luego utiliza node.exe para ejecutar la carga útil de la puerta trasera CORNFLAKE.V3, que está codificada en base64. El descargador incluye verificaciones anti-máquina virtual, saliendo si detecta bajos recursos del sistema o entornos virtualizados específicos. Una vez ejecutado, CORNFLAKE.V3 realiza reconocimiento, establece persistencia e intenta la cosecha de credenciales a través de métodos como Kerberoasting.
CdXz5zHNQW_xgNLUPu9Yd.jpeg