RSS 云博客
关注
麦片罪犯:分析 CORNFLAKE.V3 后门
Mandiant 的 Frontline Bulletin 系列详细介绍了一个涉及 UNC5518 和 UNC5774 威胁组织的活动,该活动导致了 CORNFLAKE.V3 恶意软件的部署。UNC5518 攻击网站,提供虚假 CAPTCHA 页面,并使用一种称为 ClickFix 的技术诱骗受害者执行下载器脚本。这些脚本随后充当访问即服务提供商,促进其他威胁行为者进行恶意软件感染。UNC5774 是一个经济动机组织,以使用 CORNFLAKE 后门部署各种有效载荷而闻名。CORNFLAKE.V3 是一个用 JavaScript 或 PHP 编写的更新后的后门,能够检索和执行可执行文件和 DLL 等有效载荷。它还通过注册表 Run 键建立主机持久性,并滥用 Cloudflare Tunnels 进行 C2 通信。所分析的活动始于主机上可疑的 PowerShell 活动,追溯到一个与虚假 CAPTCHA 页面交互的用户。该页面将恶意的 PowerShell 命令复制到剪贴板,然后通过 Windows Run 对话框执行。PowerShell 加载器下载并提取 Node.js,然后使用 node.exe 执行 base64 编码的 CORNFLAKE.V3 后门有效载荷。加载器包含反虚拟机检查,如果检测到低系统资源或特定的虚拟化环境则退出。一旦执行,CORNFLAKE.V3 会进行侦察,建立持久性,并通过 Kerberoasting 等方法尝试凭据收集。