Nhóm tác nhân tài chính UNC5518 đã và đang tiến hành một chiến dịch mạng phức tạp, được theo dõi từ tháng 6 năm 2024. Nhóm này xâm nhập các trang web đáng tin cậy để cài đặt bẫy ClickFix, vốn là các trang CAPTCHA giả mạo gây hiểu lầm.

Các trang độc hại này lừa người dùng thực thi các script tải xuống, khởi tạo chuỗi lây nhiễm và thường dẫn đến việc triển khai mã độc bởi các tác nhân liên kết. Đây là một mối đe dọa mạng đáng chú ý cần được phân tích chi tiết.

UNC5518: Mối Đe Dọa Mạng Với Dịch Vụ Cung Cấp Quyền Truy Cập

Mandiant Threat Defense đã quan sát UNC5518 hoạt động như một nhà cung cấp quyền truy cập (access-as-a-service). Điều này cho phép các nhóm như UNC5774 khai thác quyền truy cập có được để triển khai các backdoor tiên tiến như CORNFLAKE.V3.

Sự hợp tác này nêu bật tính mô-đun của các mối đe dọa mạng hiện đại. Các nhà môi giới truy cập ban đầu tạo điều kiện cho các cuộc xâm nhập sâu hơn bởi các tác nhân chuyên biệt. Mục tiêu chính là lợi ích tài chính thông qua trinh sát, đánh cắp thông tin xác thực và di chuyển ngang.

Backdoor CORNFLAKE.V3: Sự Tiến Hóa của Mã Độc

Backdoor CORNFLAKE.V3, được cho là do UNC5774 triển khai, thể hiện sự tiến hóa từ các biến thể trước đó. Nó chuyển đổi từ các bộ tải xuống dựa trên C sang triển khai bằng JavaScript hoặc PHP.

Các biến thể mới hỗ trợ giao tiếp Command-and-Control (C2) dựa trên HTTP với mã hóa XOR. Không giống như CORNFLAKE.V2 thiếu tính bền vững, V3 tích hợp các khóa registry Run keys để duy trì hoạt động lâu dài.

V3 xử lý nhiều loại payload khác nhau, bao gồm các tệp thực thi, DLL, JavaScript, script batch và lệnh PowerShell.

Chuỗi Lây Nhiễm Ban Đầu

Việc lây nhiễm thường bắt đầu khi người dùng tương tác với các trang ClickFix. Các trang này sao chép các script PowerShell độc hại vào clipboard thông qua JavaScript.

Sau đó, người dùng được nhắc thực thi các script này qua hộp thoại Windows Run. Điều này dẫn đến việc tải xuống môi trường chạy Node.js hoặc PHP từ các nguồn hợp pháp. Các môi trường này được giải nén vào thư mục %APPDATA% và chạy mã backdoor nhúng.

Kỹ Thuật Né Tránh và Khai Thác Môi Trường

Các script dropper tích hợp kiểm tra Anti-VM để phát hiện môi trường sandbox. Chúng phân tích mức sử dụng bộ nhớ, tên máy tính và nhà sản xuất như QEMU, đảm bảo khả năng né tránh trong các môi trường được kiểm soát.

Khi hoạt động, CORNFLAKE.V3 thực hiện trinh sát máy chủ bằng cách sử dụng các công cụ như systeminfo, tasklist, và ARP. Đồng thời, nó cố gắng thực hiện Kerberoasting để thu thập thông tin xác thực thông qua Service Principal Names (SPNs).

Trong các trường hợp được quan sát, nó thực thi các script batch để truy vấn Active Directory. Các truy vấn này bao gồm đếm số máy tính trong miền, liệt kê các mối quan hệ trust, liệt kê các bộ điều khiển và xác định các nhóm quản trị viên, bất kể máy chủ có tham gia miền hay không.

Để biết thêm chi tiết về phân tích kỹ thuật của backdoor này, bạn có thể tham khảo bài viết từ Google Cloud tại Analyzing CORNFLAKE.V3 Backdoor.

Biến Thể PHP và WINDYTWIST.SEA

Một biến thể PHP của CORNFLAKE.V3 tinh chỉnh hơn nữa các kỹ thuật của nó. Nó sử dụng Cloudflare Tunnels để proxy C2, sử dụng tên khóa registry ngẫu nhiên cho tính bền vững và xử lý payload đã thay đổi. Ví dụ, nó lưu các DLL dưới dạng tệp .png và tích hợp tải xuống Node.js để thực thi JavaScript.

Biến thể này cũng giới thiệu các lệnh như ACTIVE cho heartbeat và AUTORUN để thiết lập, chứng minh sự cải tiến lặp lại để chống lại việc phát hiện. Phân tích sâu hơn cho thấy CORNFLAKE.V3 cũng triển khai backdoor WINDYTWIST.SEA, một implant dựa trên C hỗ trợ TCP relaying, reverse shell và thực thi lệnh, được cấu hình với nhiều máy chủ C2 để tăng tính linh hoạt và bền bỉ. Đây là một ví dụ rõ nét về cách các mã độc phát triển để né tránh các biện pháp an ninh.

Phân Tích Cây Tiến Trình (Process Tree)

Các cây tiến trình điển hình trong một cuộc xâm nhập mạng này cho thấy explorer.exe khởi tạo PowerShell. PowerShell lần lượt khởi chạy node.exe hoặc php.exe, dẫn đến các hoạt động trinh sát và thực thi rundll32.exe cho các payload DLL.

explorer.exe
  └─ powershell.exe
      └─ node.exe OR php.exe
          └─ (reconnaissance tools, e.g., systeminfo, tasklist, arp)
          └─ rundll32.exe (for DLL payloads)

Biện Pháp Phòng Chống và Phát Hiện Mối Đe Dọa Mạng

Để chống lại các mối đe dọa mạng này, các tổ chức nên thực hiện các biện pháp sau:

• Vô hiệu hóa hộp thoại Windows Run khi khả thi.
• Thực hiện các mô phỏng tấn công phi kỹ thuật (social engineering simulations) để nâng cao nhận thức người dùng.
• Triển khai ghi log mạnh mẽ cho các hoạt động đáng ngờ, như PowerShell khởi chạy Node.js từ thư mục %APPDATA%.

Truy Vấn Phát Hiện trong Google Security Operations

Các truy vấn phát hiện trong Google Security Operations nhắm mục tiêu vào các chỉ số như:

• Các lần khởi chạy tiến trình bất thường.
• Các kết nối mạng đến nodejs.org hoặc windows.php.net.

Việc theo dõi chặt chẽ các hành vi này là rất quan trọng để phát hiện sớm các cuộc xâm nhập mạng và giảm thiểu rủi ro.