Código HTML do Conteúdo

Post: UNC5518 Grupo Hacks Sites legítimos com Captcha falso para entregar malware - Against Invaders - Notícias de CyberSecurity para humanos.

<div> <div> <p>O grupo de amea&ccedil;as motivado financeiramente UNC5518 tem se infiltrando sites confi&aacute;veis &#8203;&#8203;para instalar as iscas clickfix, que s&atilde;o as p&aacute;ginas falsas de captcha, como parte de uma complexa campanha cibern&eacute;tica que &eacute; monitorada desde junho de 2024.</p> <p>Essas p&aacute;ginas maliciosas levam os usu&aacute;rios a executar scripts de download que iniciam cadeias de infec&ccedil;&atilde;o, geralmente levando &agrave; implanta&ccedil;&atilde;o de malware por atores afiliados. </p> <p>A Defesa de Amea&ccedil;as da Mandiant observou a UNC5518 operando como um fornecedor de acesso como servi&ccedil;o, permitindo que grupos como UNC5774 explorassem o acesso a implantar backdoors avan&ccedil;ados como o Cornflake.v3.</p> <p>Essa colabora&ccedil;&atilde;o destaca a natureza modular das amea&ccedil;as modernas, onde os corretores de acesso inicial facilitam intrus&otilde;es mais profundas de atores especializados focados em ganhos financeiros por meio de reconhecimento, roubo de credenciais e <a href="https://gbhackers.com/hackers-exploit-com-objects-for-fileless-malware/" rel="noreferrer noopener" target="_blank">movimento lateral</a>.</p> <h2 id="h-technical-breakdown-of-cornflake-v3"><strong>Quebra t&eacute;cnica de cornflake.v3</strong></h2> <p>O backdoor de cornflake.v3, atribu&iacute;do &agrave; UNC5774, representa uma evolu&ccedil;&atilde;o de variantes anteriores, fazendo a transi&ccedil;&atilde;o de downloaders baseados em C para implementa&ccedil;&otilde;es de JavaScript ou PHP que suportam comunica&ccedil;&otilde;es de comando e controle baseadas em HTTP (C2) com codifica&ccedil;&atilde;o XOR. </p> <p>Ao contr&aacute;rio do Cornflake.v2, que n&atilde;o possu&iacute;a persist&ecirc;ncia, a V3 incorpora chaves de execu&ccedil;&atilde;o do registro para longevidade e lida com diversas cargas &uacute;teis, incluindo execut&aacute;veis, DLLs, JavaScript, scripts em lote e comandos de PowerShell. </p> <p>Infec&ccedil;&otilde;es geralmente come&ccedil;am com os usu&aacute;rios interagindo com as p&aacute;ginas clickfix, que copiam maliciosas <a href="https://gbhackers.com/new-stealc-v2-upgrade-targets-microsoft-installer-packages/" rel="noreferrer noopener" target="_blank">Scripts PowerShell</a> Para a &aacute;rea de transfer&ecirc;ncia via JavaScript, solicitando a execu&ccedil;&atilde;o atrav&eacute;s da caixa de di&aacute;logo Run Windows. </p> <p>Isso leva ao download do Node.JS ou PHP RunTimes de fontes leg&iacute;timas, extraindo -as para %AppData %e executando o c&oacute;digo incorporado. </p> <p>Verifica&ccedil;&otilde;es anti-VM nos scripts do conta-gotas detectam caixas de areia analisando o uso da mem&oacute;ria, nomes de computadores e fabricantes como o Qemu, garantindo evas&atilde;o em ambientes controlados. </p> <p>Uma vez ativo, o cornflake.v3 executa reconhecimento de host usando ferramentas como SystemInfo, Tasklist e ARP, enquanto tentam Kerberoasting para a colheita de credenciais por meio de nomes principais de servi&ccedil;o (SPNS). </p> <p>Nos casos observados, ele executou scripts em lote para consultas do Active Directory, contando computadores de dom&iacute;nio, enumiando rela&ccedil;&otilde;es de confian&ccedil;a, listando controladores e identificando grupos de administra&ccedil;&atilde;o se o host &eacute; realizado ou n&atilde;o. </p> <p>Uma variante de PHP refina ainda mais usando t&uacute;neis Cloudflare para proxy de C2, nomes de chave de registro aleat&oacute;rio para persist&ecirc;ncia e manuseio de carga &uacute;til alterada, como salvar DLLs como arquivos .png e integrar downloads node.js para execu&ccedil;&atilde;o de Javascript. </p> <p>Essa variante tamb&eacute;m introduziu comandos como ativos para batimentos card&iacute;acos e autorun para configura&ccedil;&atilde;o, demonstrando melhorias iterativas contra a detec&ccedil;&atilde;o.</p> <h2 id="h-additional-payloads"><strong>Cargas &uacute;teis adicionais</strong></h2> <p>An&aacute;lise adicional <a href="https://cloud.google.com/blog/topics/threat-intelligence/analyzing-cornflake-v3-backdoor/" rel="noreferrer noopener nofollow" target="_blank">revelado</a> Cornflake.v3 implantando o backdoor windytwist.sea, um implante baseado em C que suporta retransmiss&atilde;o de TCP, conchas reversas e execu&ccedil;&atilde;o de comando, configurada com v&aacute;rios servidores C2 para resili&ecirc;ncia.</p> <p>As &aacute;rvores de processo mostram que a desova do explorador.exe PowerShell, que, por sua vez, lan&ccedil;a Node.exe ou Php.exe, levando ao reconhecimento e execu&ccedil;&atilde;o do RUNDLL32.EXE de cargas de DLL. </p> <p>Para combater essas amea&ccedil;as, as organiza&ccedil;&otilde;es devem desativar a caixa de di&aacute;logo Run Windows quando vi&aacute;vel, conduzir simula&ccedil;&otilde;es de engenharia social e implementar um registro robusto para atividades suspeitas, como o PowerShell, lan&ccedil;ando o Node.js de %AppData %. </p> <p>Consultas de detec&ccedil;&atilde;o no Google Opera&ccedil;&otilde;es de seguran&ccedil;a Indicadores de destino, como lan&ccedil;amentos incomuns de processos e conex&otilde;es de rede com nodejs.org ou windows.php.net.</p> <p>Em conclus&atilde;o, esta campanha ressalta os riscos de engenharia social na entrega de malware vers&aacute;til, com UNC5518 e UNC5774 exemplificando o ator de amea&ccedil;as simbiose. O monitoramento proativo e a educa&ccedil;&atilde;o do usu&aacute;rio s&atilde;o essenciais para interromper essas cadeias.</p> <h2 id="h-key-indicators-of-compromise-iocs"><strong>Indicadores -chave de compromisso (IOCs)</strong></h2> <figure> <table> <thead> <tr> <th>Tipo</th> <th>Artefato</th> <th>Descri&ccedil;&atilde;o</th> <th>SHA-256/IP/dom&iacute;nio</th> </tr> </thead> <tbody> <tr> <td>Arquivo</td> <td>C: Usu&aacute;rios Appdata roaming node-v22.11.0-win-x64 ckw8ua56.log</td> <td>Arquivo de persist&ecirc;ncia de cornflake.v3 (node.js)</td> <td>000B24076CAE8DBB00B46BB59188A0DA5A940E325EAAC7D86854006EC071AC5B</td> </tr> <tr> <td>Registro</td> <td>HKCU Software Microsoft Windows CurrentVersion Run ChromeUpDater</td> <td>Cornflake.v3 (node.js) Chave de execu&ccedil;&atilde;o</td> <td>N / D</td> </tr> <tr> <td>Arquivo</td> <td>C: Usu&aacute;rios AppData Roaming php config.cfg</td> <td>Amostra de cornflake.v3 (php)</td> <td>A2D4E8C3094C959E144F46B16B40ED29CC4636B886166615B699979F0A44F9A2D1</td> </tr> <tr> <td>Arquivo</td> <td>C: Usu&aacute;rios AppData roaming shift194340 78g0zrqi.png</td> <td>Windytwist.sea backdoor</td> <td>14F9FBBF7E82888BDC9C314872BF0509835A464D1F03CD8E1A629D0C4D268B0C</td> </tr> <tr> <td>Rede</td> <td>138.199.161.141</td> <td>IP5518 IP de distribui&ccedil;&atilde;o</td> <td>N / D</td> </tr> <tr> <td>Rede</td> <td>159.69.3.151</td> <td>Cornflake.v3 (node.js) c2</td> <td>N / D</td> </tr> <tr> <td>Rede</td> <td>V&aacute;rios e rentais-calgary-predict.trycloudflare.com</td> <td>Cornflake.v3 (php) c2</td> <td>N / D</td> </tr> <tr> <td>Rede</td> <td>167.235.235.151; 128.140.120.188; 177.136.225.135</td> <td>Servidores windytwist.sea c2</td> <td>N / D</td> </tr> </tbody> </table> </figure> <p><strong>Encontre esta not&iacute;cia interessante! Siga -nos<a href="https://news.google.com/publications/CAAqKAgKIiJDQklTRXdnTWFnOEtEV2RpYUdGamEyVnljeTVqYjIwb0FBUAE?hl=en-IN&amp;gl=IN&amp;ceid=IN%3Aen" rel="noreferrer noopener" target="_blank">Google News</a>Assim,<a href="https://www.linkedin.com/company/cyber-threat-intel/" rel="noreferrer noopener" target="_blank">LinkedIn</a>e<a href="https://x.com/The_Cyber_News" rel="noreferrer noopener" target="_blank">X</a>Para obter atualiza&ccedil;&otilde;es instant&acirc;neas!</strong></p> </div></div>