Исследователи компании Mandiant, принадлежащей Google, выявили схему «доступ-как-услуга», организованную хакерской группировкой UNC5518. Атака начинается с того, что жертва попадает на поддельную страницу проверки CAPTCHA, вероятнее всего, через вредоносную рекламу или отравление поисковой выдачи. Используя тактику социальной инженерии под названием ClickFix, злоумышленники убеждают пользователя скопировать вредоносный PowerShell-скрипт и вручную выполнить его через диалоговое окно «Выполнить» в Windows.
После выполнения скрипт загружает и запускает дроппер следующего этапа с удаленного сервера. Этот дроппер сначала проверяет, не запущен ли он в виртуализированной среде, и только после этого разворачивает основной бэкдор — CORNFLAKE.V3. Данный вредонос является ключевым элементом схемы, поскольку именно полученный с его помощью доступ группировка UNC5518 продает другим киберпреступникам.
CORNFLAKE.V3 представляет собой универсальный бэкдор, существующий в версиях на JavaScript и PHP. Он способен выполнять различные типы полезных нагрузок (исполняемые файлы, DLL, скрипты JavaScript, пакетные и PowerShell-сценарии) и собирать базовую информацию о системе. Для закрепления в системе вредонос использует ключ автозапуска в реестре Windows. Командный трафик (C2) маскируется путем его проксирования через туннели Cloudflare, что усложняет обнаружение. Эта версия является значительной эволюцией по сравнению с предшественниками: CORNFLAKE.V2 был простым загрузчиком, а оригинальный CORNFLAKE, написанный на C, использовал TCP-сокеты и мог запускать только DLL-файлы.
Аналитик Mandiant Марко Галли установил, что первоначальным доступом, полученным UNC5518, пользуются как минимум две другие группы. Первая, UNC5774, является финансово мотивированной и использует CORNFLAKE для развертывания широкого спектра вредоносных программ. Вторая группа, UNC4108, с невыясненными мотивами, применяет PowerShell для установки инструментов VOLTMARKER и NetSupport RAT.
Через бэкдор CORNFLAKE.V3 распространяются такие инструменты, как утилита для разведки в Active Directory и скрипт для кражи учетных данных с помощью техники Kerberoasting. Также зафиксировано развертывание WINDYTWIST.SEA — версии бэкдора WINDYTWIST, написанной на языке C. Его функционал включает ретрансляцию TCP-трафика, предоставление обратного шелла, выполнение команд, самоудаление и перемещение по сети.
Одновременно с этим специалисты Mandiant отслеживают отдельную кампанию, активную с сентября 2024 года, по распространению криптомайнера XMRig через зараженные USB-накопители. Атака начинается, когда пользователь подключает скомпрометированный USB-носитель и запускает вредоносный ярлык Windows (.LNK). Это действие инициирует многоступенчатую цепочку заражения.
Ярлык запускает скрипт Visual Basic (VBS), который, в свою очередь, выполняет пакетный файл. Далее в дело вступает последовательность вредоносных компонентов. DIRTYBULK, написанный на C++, запускает другие модули. CUTFAIL, также на C++, расшифровывает и устанавливает основной вредонос. Компонент HIGHREPS обеспечивает постоянное присутствие в системе финального бэкдора под названием PUMPBENCH.
PUMPBENCH — это бэкдор на C++, который выполняет разведку системы, обеспечивает удаленный доступ, общаясь для этого с сервером базы данных PostgreSQL, и загружает конечную полезную нагрузку. В качестве полезной нагрузки выступает XMRig — программное обеспечение с открытым исходным кодом, предназначенное для майнинга криптовалют Monero, Dero и Ravencoin.
Ключевой особенностью кампании является механизм самораспространения. Бэкдор PUMPBENCH постоянно сканирует систему на наличие подключенных USB-накопителей. При обнаружении нового устройства он заражает его, создавая на нем набор файлов: пакетный файл, VBScript, файл ярлыка и DAT-файл, тем самым подготавливая почву для дальнейшего распространения инфекции. Вредоносное ПО в этой атаке использует сторонние библиотеки, такие как OpenSSL, libcurl и WinPthreadGC.
Для противодействия подобным угрозам рекомендуется отключать диалоговое окно «Выполнить» в Windows там, где это возможно, проводить регулярные учения по симуляции кибератак, а также внедрять надежные системы протоколирования и мониторинга для своевременного выявления подозрительной активности.
Изображение носит иллюстративный характер
После выполнения скрипт загружает и запускает дроппер следующего этапа с удаленного сервера. Этот дроппер сначала проверяет, не запущен ли он в виртуализированной среде, и только после этого разворачивает основной бэкдор — CORNFLAKE.V3. Данный вредонос является ключевым элементом схемы, поскольку именно полученный с его помощью доступ группировка UNC5518 продает другим киберпреступникам.
CORNFLAKE.V3 представляет собой универсальный бэкдор, существующий в версиях на JavaScript и PHP. Он способен выполнять различные типы полезных нагрузок (исполняемые файлы, DLL, скрипты JavaScript, пакетные и PowerShell-сценарии) и собирать базовую информацию о системе. Для закрепления в системе вредонос использует ключ автозапуска в реестре Windows. Командный трафик (C2) маскируется путем его проксирования через туннели Cloudflare, что усложняет обнаружение. Эта версия является значительной эволюцией по сравнению с предшественниками: CORNFLAKE.V2 был простым загрузчиком, а оригинальный CORNFLAKE, написанный на C, использовал TCP-сокеты и мог запускать только DLL-файлы.
Аналитик Mandiant Марко Галли установил, что первоначальным доступом, полученным UNC5518, пользуются как минимум две другие группы. Первая, UNC5774, является финансово мотивированной и использует CORNFLAKE для развертывания широкого спектра вредоносных программ. Вторая группа, UNC4108, с невыясненными мотивами, применяет PowerShell для установки инструментов VOLTMARKER и NetSupport RAT.
Через бэкдор CORNFLAKE.V3 распространяются такие инструменты, как утилита для разведки в Active Directory и скрипт для кражи учетных данных с помощью техники Kerberoasting. Также зафиксировано развертывание WINDYTWIST.SEA — версии бэкдора WINDYTWIST, написанной на языке C. Его функционал включает ретрансляцию TCP-трафика, предоставление обратного шелла, выполнение команд, самоудаление и перемещение по сети.
Одновременно с этим специалисты Mandiant отслеживают отдельную кампанию, активную с сентября 2024 года, по распространению криптомайнера XMRig через зараженные USB-накопители. Атака начинается, когда пользователь подключает скомпрометированный USB-носитель и запускает вредоносный ярлык Windows (.LNK). Это действие инициирует многоступенчатую цепочку заражения.
Ярлык запускает скрипт Visual Basic (VBS), который, в свою очередь, выполняет пакетный файл. Далее в дело вступает последовательность вредоносных компонентов. DIRTYBULK, написанный на C++, запускает другие модули. CUTFAIL, также на C++, расшифровывает и устанавливает основной вредонос. Компонент HIGHREPS обеспечивает постоянное присутствие в системе финального бэкдора под названием PUMPBENCH.
PUMPBENCH — это бэкдор на C++, который выполняет разведку системы, обеспечивает удаленный доступ, общаясь для этого с сервером базы данных PostgreSQL, и загружает конечную полезную нагрузку. В качестве полезной нагрузки выступает XMRig — программное обеспечение с открытым исходным кодом, предназначенное для майнинга криптовалют Monero, Dero и Ravencoin.
Ключевой особенностью кампании является механизм самораспространения. Бэкдор PUMPBENCH постоянно сканирует систему на наличие подключенных USB-накопителей. При обнаружении нового устройства он заражает его, создавая на нем набор файлов: пакетный файл, VBScript, файл ярлыка и DAT-файл, тем самым подготавливая почву для дальнейшего распространения инфекции. Вредоносное ПО в этой атаке использует сторонние библиотеки, такие как OpenSSL, libcurl и WinPthreadGC.
Для противодействия подобным угрозам рекомендуется отключать диалоговое окно «Выполнить» в Windows там, где это возможно, проводить регулярные учения по симуляции кибератак, а также внедрять надежные системы протоколирования и мониторинга для своевременного выявления подозрительной активности.
