RSS Блог об облаках
Подписаться
Злостный нарушитель: Анализ бэкдора CORNFLAKE.V3
Серия бюллетеней Frontline от Mandiant подробно описывает кампанию, в которой участвуют группы угроз UNC5518 и UNC5774, что приводит к развертыванию вредоносного ПО CORNFLAKE.V3. UNC5518 компрометирует веб-сайты, чтобы отображать фальшивые страницы CAPTCHA, используя технику ClickFix, чтобы обмануть жертв в выполнении скриптов-загрузчиков. Эти скрипты, в свою очередь, облегчают инфицирование вредоносным ПО другими акторами, действуя как провайдер доступа как услуги. UNC5774 - это финансово мотивированная группа, известная тем, что использует бэкдор CORNFLAKE для развертывания различных полезных нагрузок. CORNFLAKE.V3 - это обновленный бэкдор, написанный на JavaScript или PHP, способный извлекать и выполнять полезные нагрузки, такие как исполняемые файлы и DLL. Он также обеспечивает постоянство хоста через ключи реестра Run и злоупотребляет Cloudflare Tunnels для связи C2. Анализируемая кампания началась с подозрительной активности PowerShell на хосте, прослеженной до пользователя, который взаимодействовал с фальшивой страницей CAPTCHA. Эта страница скопировала вредоносную команду PowerShell в буфер обмена, которая затем была выполнена через диалоговое окно запуска Windows. Загрузчик PowerShell скачивает и извлекает Node.js, а затем использует node.exe для выполнения полезной нагрузки бэкдора CORNFLAKE.V3, закодированной в base64. Загрузчик включает в себя проверки на виртуальную машину, выходя, если обнаруживает низкие системные ресурсы или конкретные виртуализированные среды. После выполнения CORNFLAKE.V3 выполняет разведку, обеспечивает постоянство и пытается собрать учетные данные с помощью методов, таких как Kerberoasting.