RSS クラウド ブログ
フォロー
コーンフレイクの罪人:CORNFLAKE.V3 バックドアの分析
MandiantのFrontline Bulletinシリーズは、UNC5518およびUNC5774の脅威グループが関与し、CORNFLAKE.V3マルウェアの展開につながったキャンペーンについて詳述しています。UNC5518は、ClickFixと呼ばれる手法を使用して、偽のCAPTCHAページを配信することでウェブサイトを侵害し、被害者をダウンローダー スクリプトの実行に誘導します。これらのスクリプトは、他の脅威アクターによるマルウェア感染を容易にし、アクセス・アズ・ア・サービス・プロバイダーとして機能します。UNC5774は、CORNFLAKEバックドアを使用してさまざまなペイロードをデプロイすることで知られる、金銭目的のグループです。CORNFLAKE.V3は、JavaScriptまたはPHPで記述された更新されたバックドアであり、実行可能ファイルやDLLなどのペイロードを取得して実行することができます。また、レジストリのRunキーを使用してホストの永続性を確立し、Cloudflare Tunnelsを悪用してC2通信を行います。分析されたキャンペーンは、ホスト上の不審なPowerShellアクティビティから始まり、偽のCAPTCHAページとやり取りしたユーザーにまでさかのぼることができます。このページは悪意のあるPowerShellコマンドをクリップボードにコピーし、それをWindowsのRunダイアログ経由で実行しました。PowerShellドロッパーはNode.jsをダウンロードして展開し、node.exeを使用してbase64エンコードされたCORNFLAKE.V3バックドアペイロードを実行します。ドロッパーには、低リソースまたは特定の仮想化環境を検出すると終了する、アンチ仮想マシンチェックが含まれています。実行されると、CORNFLAKE.V3は偵察を行い、永続性を確立し、Kerberoastingなどの手法を通じて資格情報の収集を試みます。