콘플레이크 범죄자: CORNFLAKE.V3 백도어 분석 노트

콘플레이크 범죄자: CORNFLAKE.V3 백도어 분석

Mandiant의 Frontline Bulletin 시리즈는 UNC5518 및 UNC5774 위협 그룹과 관련된 캠페인에 대해 자세히 설명하며, 이 캠페인은 CORNFLAKE.V3 멀웨어를 배포하게 됩니다. UNC5518은 웹사이트를 침해하여 가짜 CAPTCHA 페이지를 제공하며, ClickFix라는 기법을 사용하여 희생자들이 다운로더 스크립트를 실행하도록 유인합니다. 이 스크립트들은 다른 위협 행위자들이 멀웨어 감염을 용이하게 하며, 액세스 제공 서비스 제공자 역할을 합니다. UNC5774는 CORNFLAKE 백도어를 사용하여 다양한 페이로드를 배포하는 것으로 알려진 재정적 동기 부여 그룹입니다. CORNFLAKE.V3는 JavaScript 또는 PHP로 작성된 업데이트된 백도어로, 실행 파일 및 DLL과 같은 페이로드를 검색하고 실행할 수 있습니다. 또한 레지스트리 실행 키를 통해 호스트 지속성을 설정하고 Cloudflare 터널을 C2 통신에 악용합니다. 분석된 캠페인은 호스트에서의 의심스러운 PowerShell 활동으로 시작되었으며, 이는 가짜 CAPTCHA 페이지와 상호 작용한 사용자로 거슬러 올라갔습니다. 이 페이지는 악성 PowerShell 명령을 클립보드로 복사했으며, 이는 Windows 실행 대화 상자를 통해 실행되었습니다. PowerShell 드로퍼는 Node.js를 다운로드 및 추출한 다음, node.exe를 사용하여 base64로 인코딩된 CORNFLAKE.V3 백도어 페이로드를 실행합니다. 드로퍼에는 가상 머신 방지 검사가 포함되어 있으며, 시스템 리소스가 적거나 특정 가상화된 환경을 감지하면 종료됩니다. 실행되면 CORNFLAKE.V3는 정찰을 수행하고, 지속성을 설정하며, Kerberoasting과 같은 방법을 통해 자격 증명 수집을 시도합니다.
CdXz5zHNQW_xgNLUPu9Yd.jpeg