Blog de nuage RSS
Suivre
Un Délinquant Cérééalier : Analyse du Cheval de Troie CORNFLAKE.V3
La série de bulletins de première ligne de Mandiant décrit une campagne impliquant les groupes de menaces UNC5518 et UNC5774, aboutissant au déploiement du malware CORNFLAKE.V3. UNC5518 compromet des sites web pour servir des pages CAPTCHA factices, utilisant une technique appelée ClickFix pour inciter les victimes à exécuter des scripts de téléchargement. Ces scripts facilitent ensuite les infections malveillantes par d'autres acteurs menaçants, agissant comme un fournisseur de services d'accès. UNC5774 est un groupe motivé financièrement connu pour utiliser la porte dérobée CORNFLAKE pour déployer divers payloads. CORNFLAKE.V3 est une porte dérobée mise à jour écrite en JavaScript ou PHP, capable de récupérer et d'exécuter des payloads tels que des exécutables et des DLL. Elle établit également une persistance d'hôte via des clés de registre Run et abuse des tunnels Cloudflare pour la communication C2. La campagne analysée a commencé avec une activité PowerShell suspecte sur un hôte, remontant à un utilisateur interagissant avec une page CAPTCHA factice. Cette page a copié une commande PowerShell malveillante dans le presse-papiers, qui a été exécutée via la boîte de dialogue Exécuter de Windows. Le chargeur PowerShell télécharge et extrait Node.js, puis utilise node.exe pour exécuter le payload de la porte dérobée CORNFLAKE.V3, qui est codé en base64. Le chargeur inclut des vérifications anti-machine virtuelle, quittant si elle détecte des ressources système faibles ou des environnements virtualisés spécifiques. Une fois exécutée, CORNFLAKE.V3 effectue une reconnaissance, établit une persistance et tente de collecter des informations d'identification via des méthodes telles que le Kerberoasting.