複数ライセンス割引見積
脅威データベース マルウェア CORNFLAKE.V3 バックドア

CORNFLAKE.V3 バックドア

マルウェア, 高度な持続的脅威 (APT), バックドアMezoまで
翻訳内容:

脅威アクターは、高度なバックドア「CORNFLAKE.V3」を拡散するために、「ClickFix」と呼ばれる欺瞞的な手法をますます悪用しています。UNC5518と命名されたこの活動を追跡しているセキュリティ研究者は、この活動が、偽のCAPTCHAページで被害者を誘導し、悪意のあるコマンドを実行させる「アクセス・アズ・ア・サービス(AaaS)」活動に関連していることを突き止めました。アクセスが取得されると、そのアクセスは転売されるか、他のサイバー犯罪グループと共有され、さらなる悪用が試みられます。

攻撃の始まり

感染連鎖は、多くの場合、SEO対策された検索結果や悪質な広告にユーザーが接触した際に始まります。被害者は、CloudflareのTurnstileなどの正規のサービスに似せて設計された偽のCAPTCHA認証ページにリダイレクトされます。認証チャレンジをクリアしていると思い込んでいるユーザーは、悪質なPowerShellスクリプトをWindowsの「ファイル名を指定して実行」ダイアログボックスにコピー&ペーストするよう誘導され、攻撃者に必要な足掛かりを与えてしまいます。

脅威アクターの関与

UNC5518 キャンペーンから盗まれたアクセスは、少なくとも 2 つの異なるグループによって利用されています。

  • UNC5774 – 金銭目的の攻撃者が CORNFLAKE を配信し、追加のペイロードを展開します。
  • UNC4108 – 動機が不明なグループ。PowerShell を使用して VOLTMARKER や NetSupport RAT などのマルウェアをドロップすることが確認されています。

これは、ClickFix がさまざまな悪意のあるフォローアップ活動のゲートウェイとして機能する様子を示しています。

CORNFLAKE.V3の内部

CORNFLAKE.V3バックドアは、JavaScriptとPHPの両方の亜種に存在します。その目的は以下のとおりです。

  • 実行可能ファイル、DLL、JavaScript、バッチ ファイル、PowerShell コマンドなど、さまざまなペイロードを HTTP 経由で実行します。
  • 基本的なシステムデータを収集し、Cloudflare トンネルを介して攻撃者が管理するサーバーに送信して隠蔽します。

ダウンローダーとしてのみ機能していた前身のV2とは異なり、V3はWindowsレジストリのRunキーを変更することで永続性を実現し、より幅広いペイロードをサポートしています。少なくとも以下の3つのペイロードがV3を通じて配布されています。

  • Active Directory偵察ツール
  • 認証情報の盗難のためのKerberoastingスクリプト

WINDYTWIST.SEAは、リバースシェルアクセス、TCPトラフィック中継、横方向の移動などの機能を備えたCベースのバックドアです。

ClickFixが危険な理由

ClickFixの手法は、人間の介入を強く必要とするため、サイバー犯罪者の間で勢いを増しています。ユーザーは、多くの自動化されたセキュリティツールを回避しながら、自らコマンドを実行するように仕向けられます。一般的な配信ベクトルには、以下のようなものがあります。

  • フィッシングメール
  • マルバタイジングキャンペーン
  • ドライブバイウェブサイトの侵害

信頼性を高めるために、攻撃者はよく知られているブランド、Cloudflare チェック、さらには Discord サーバーの検証を偽装することがよくあります。

ClickFixキットの商品化

2024年後半以降、ClickFixビルダーがアンダーグラウンドフォーラムに登場し、「Win + R」キットとして販売されています。価格は機能に応じて通常月額200ドルから1,500ドルです。ソースコード、ランディングページ、コマンドラインスクリプトなどの個々のコンポーネントは、200ドルから500ドルで個別に販売されることがよくあります。

一部の高度なキットでは、ClickFix ビルダーが他のマルウェア ローダーとバンドルされており、次の機能が提供されます。

  • さまざまなルアーを備えた既製のランディングページ
  • ウイルス対策の検出を確実に回避するコマンド
  • 永続化とSmartScreen回避のオプション

防御策

ClickFixベースの感染に対抗するには、組織はプロアクティブな防御策を導入する必要があります。推奨される対策は以下のとおりです。

  • 可能な場合は、Windows の実行ダイアログを制限または無効にします。
  • 定期的にフィッシングおよびソーシャル エンジニアリングのシミュレーションを実施して、ユーザーをトレーニングします。
  • 異常な PowerShell またはスクリプトの実行を迅速に検出するための堅牢なログ記録と監視を実装します。

予防と早期検出の両方に重点を置くことで、組織は ClickFix および CORNFLAKE.V3 に関連するキャンペーンによってもたらされるリスクを大幅に軽減できます。

トレンド

Jackpot (MedusaLocker) ランサムウェア

ランサムウェア
ランサムウェアは、個人と組織の両方にとって、依然として最も深刻なサイバーセキュリティの脅威の一つです。機密ファイルを暗号化し、身代金を要求し、盗んだデータを漏洩させる能力を持つこれらの脅威は、壊滅的な結果をもたらす可能性があります。最近確認された特に危険なランサムウェアの一つは、悪名高いMedusaLockerランサムウェアファミリーの亜種であるJackpotです。Jackpotの仕組みを理...

Respraccipsaurs.com

アドウェア
適切な予防措置を講じずに気軽にインターネットを閲覧すると、深刻なリスクにつながる可能性があります。こうしたリスクの一つに、Respraccipsaurs.comのような悪質なウェブサイトがあります。これらのウェブサイトは、欺瞞的な手法を用いて、何も知らないユーザーを騙そうとします。このようなページの本質を理解することは、オンラインで安全を保つために不可欠です。 Respraccipsaurs...

Brobitte.co.in

不正なウェブサイト, アドウェア, ブラウザハイジャッカー
デジタル脅威がますます巧妙になるにつれ、ユーザーはウェブ閲覧中に常に警戒を怠らず、用心深くいることが不可欠です。悪意のある行為者は、不注意なユーザーを狙った不正ウェブサイトを絶えず作成しています。その一例がBrobitte.co.inです。これは、サイバーセキュリティ研究者によって、怪しいリダイレクトスキームやブラウザ通知の悪用への関与が指摘されている、疑わしいドメインです。このようなページ...

最も見られました

「プリンタドライバが利用できません」エラーを修正する方法

問題
58,354
プリンターは、ユーザーが最も必要としているときにいつでもジョブを実行することを拒否することで有名です。幸いなことに、お使いのプリンターに「プリンター ドライバーは使用できません」というエラーが表示されている場合は、問題を解決できる簡単な解決策がいくつかあります。この特定のエラーは、破損したドライバー ファイル、古いドライバー、またはドライバーの非互換性が原因である可能性があります。 Micr...
画面を共有するとDiscordが黒い画面を表示するスクリーンショット

画面を共有するとDiscordが黒い画面を表示する

問題
44,467
最初に立ち上げられたとき、Discord はゲーム コミュニティ向けの VoIP プラットフォームでした。しかし、その後数年間でその範囲を拡大し、多数の新機能を追加し、最大のソーシャル プラットフォームの 1 つになり、月間アクティブ ユーザー数は 1 億 4000 万人を超えました。現在、ユーザーはプライベート インスタント メッセージを送信したり、VoIP やビデオ通話を開始したり、コン...

Discord 灰色の画面で立ち往生

問題
44,234
時々、Discordアプリケーションを使用している間、ユーザーは灰色の画面で立ち往生するかもしれません。この問題は、アプリケーションのストリーミング中または単にロード中に発生する可能性があります。これが発生し、それを修正する方法がわからない場合は、次の解決策を試してください。 画面モードの切り替え 原因が視覚的な不具合であり、それ以上深刻なものがない場合は、全画面モードや小画面オプションを有...
読み込んでいます...