關閉選單
  1. Home
  2. NEWS最新消息
顯示分類
2025.08.22
訊息與報導/資訊安全
網路犯罪分子透過 ClickFix 策略和虛假驗證碼頁面部署 CORNFLAKE.V3 後門
報導摘要

根據《The Hacker News》的報導,網路犯罪集團正積極部署一種名為CORNFLAKE.V3的多功能後門程式,其透過一種新穎的社交工程手法「ClickFix」進行散布。攻擊者利用搜尋引擎優化(SEO)毒化或惡意廣告,將受害者引導至偽裝的CAPTCHA驗證頁面。一旦用戶上當,便會被誘騙在Windows的「執行」(Run)對話框中輸入並執行惡意的PowerShell腳本,從而啟動感染流程。CORNFLAKE.V3是先前版本CORNFLAKE.V2的升級版,具備在受害主機上建立登錄檔持久性,並支援多種惡意載荷(payloads)類型。此外,該後門程式透過Cloudflare的隧道技術隱藏其C&C(命令與控制)通訊,使其更難被偵測。更令人憂慮的是,CORNFLAKE.V3所提供的初始存取權限,常被其他駭客組織(如UNC5774和UNC4108)利用,用於部署更具破壞性的惡意軟體,例如用於Active Directory偵察的WINDYTWIST.SEA工具,以及憑證竊取腳本。


威脅技術深度剖析:CORNFLAKE.V3的運作機制

CORNFLAKE.V3後門程式的成功部署,依賴於一系列精心設計的攻擊鏈。其核心在於結合了社交工程與技術漏洞,欺騙用戶成為惡意程式的執行者。

  1. 初始感染向量:社交工程與SEO毒化 攻擊者首先利用惡意SEO或廣告投放,將受害者從正常的搜尋結果或網頁廣告引導至一個看似無害的網站。這個網站通常偽裝成一個需要進行CAPTCHA驗證的頁面,例如「我是人類,請點擊驗證」等。這種手法旨在降低用戶的警覺性,讓他們相信接下來的操作是為了安全驗證。
  2. 欺騙執行:ClickFix手法 當用戶進入偽裝的CAPTCHA頁面後,會看到一個指示,要求他們在Windows的「執行」對話框(透過快捷鍵Win + R開啟)中輸入一串指令。這串指令實際上是一個惡意的PowerShell腳本。由於該指令看起來像是正常的驗證碼,且需要用戶手動操作,這使得傳統的防禦軟體難以在第一時間攔截。這種「點擊修復」(ClickFix)的社交工程手法,巧妙地利用了用戶對系統對話框的信任,使其成為惡意軟體的中介。
  3. 後門程式的持久性與功能 一旦PowerShell腳本成功執行,它會下載並在受害主機上部署CORNFLAKE.V3後門程式。新版本的主要升級之處在於其持久性機制。它會在登錄檔中建立一個「Run」鍵,確保在受害主機重啟後,後門程式能夠自動再次啟動,從而維持對系統的控制權。此外,CORNFLAKE.V3具備強大的載荷執行能力,能夠透過HTTP協議從遠端伺服器下載並執行多種類型的惡意檔案,包括可執行檔(executables)、動態連結庫(DLLs)和各種腳本。這使得攻擊者能夠靈活地根據需要,在受害系統上部署不同的惡意模組。
  4. 隱匿通訊:Cloudflare隧道技術的利用 為了躲避資安檢測,CORNFLAKE.V3利用Cloudflare的隧道技術(Cloudflare tunnels)來建立其與C&C伺服器的加密通訊通道。這種技術將惡意流量偽裝成合法的HTTPS流量,使其在通過網路防火牆或入侵防禦系統(IPS)時難以被識別。這為資安分析師帶來了巨大的挑戰,因為要區分惡意通訊與合法通訊變得極為困難。
  5. 威脅貨幣化:多個犯罪集團的協同作戰 CORNFLAKE.V3所提供的初始立足點,並非其最終目的。報導揭露,這些存取權限會被轉售或共享給其他網路犯罪集團。例如,UNC5774和UNC4108等惡名昭彰的駭客組織,會利用這些通道部署後續的攻擊載荷。這是一種典型的「初始存取代理人」(Initial Access Broker)商業模式,使得攻擊鏈分工明確,效率極高。WINDYTWIST.SEA工具便是一個例子,它被用來進行Active Directory的偵察,為攻擊者提供對企業內部網路更深入的了解,為後續的橫向移動和更具破壞性的攻擊(如勒索軟體部署)奠定基礎。

企業資安防禦與應對指南

面對CORNFLAKE.V3這類高度複雜且隱蔽的威脅,企業必須採取多層次的防禦策略,從技術層面到人員培訓,全面提升資安韌性。

  1. 終端防護與政策管理
    • 限制「執行」對話框: 企業應評估業務需求,並在可能的情況下透過群組原則(Group Policy)或終端管理工具,禁用Windows的「執行」對話框。這將直接切斷CORNFLAKE.V3的主要感染途徑。
    • 應用程式白名單: 實施嚴格的應用程式白名單策略,只允許已批准的程式(包括PowerShell腳本)執行。這能有效阻止未經授權的惡意腳本在終端上運行。
    • 強化日誌監控: 建立強大的日誌監控與分析系統。特別是針對PowerShell的執行日誌,應配置特定的規則,以便即時檢測異常的腳本執行或下載行為。
  2. 網路安全與威脅情資
    • 深度封包檢測: 儘管CORNFLAKE.V3利用加密流量,但透過深度封包檢測(DPI)技術,並結合行為分析,仍有機會識別出異常的流量模式。
    • 整合威脅情資: 持續更新並整合外部威脅情資來源,將已知的惡意IP位址、網域名稱和C&C伺服器資訊加入防火牆與入侵防禦系統的黑名單。
    • 零信任架構: 實施零信任安全模型,不信任任何內部或外部的流量。對所有網路流量進行嚴格的驗證與授權,即使是來自受信任的雲端服務(如Cloudflare),也需進行額外檢查。
  3. 人員意識與應變計畫
    • 資安意識培訓: 員工是防禦的第一道防線。應定期進行資安意識培訓,特別是針對社交工程、釣魚攻擊和惡意網頁的識別。應強調「不隨意執行從網頁上看到的指令」這一黃金法則。
    • 事件應變計畫: 建立並演練完善的資安事件應變計畫。這包括快速隔離受感染主機、進行惡意軟體分析、清除後門程式並修復受影響的系統。

結論

CORNFLAKE.V3後門程式的出現,標誌著網路犯罪分子在攻擊手法上的演進。其利用人性的弱點,並結合先進的技術隱匿行蹤,對企業資安構成了重大威脅。然而,這並非無解的難題。透過技術防禦、加強監控、實施零信任策略以及持續的員工資安教育,企業能夠有效提升自身的資安防禦能力。這場戰役的勝負,不僅取決於技術的先進性,更在於組織的警覺性與應變能力。只有將資安融入企業文化的每一個層面,才能在不斷演變的網路威脅中立於不敗之地。


資料來源:https://thehackernews.com/2025/08/cybercriminals-deploy-cornflakev3.html
網路犯罪集團正透過名為「ClickFix」的社交工程手法,廣泛部署新版後門程式CORNFLAKE.V3,該程式具備持久性與多樣化載荷執行能力。