Source: Mandiant Threat Defense — Publication de recherche détaillant une campagne multi‑étapes d’« access‑as‑a‑service » aboutissant au déploiement du backdoor CORNFLAKE.V3.
-
Le groupe UNC5518 utilise des pages CAPTCHA factices pour piéger les utilisateurs et fournir l’accès initial à d’autres acteurs. Cet accès est ensuite exploité par UNC5774 pour installer CORNFLAKE.V3, une porte dérobée disponible en variantes JavaScript (Node.js) et PHP. Le malware permet persistance, reconnaissance et exécution de charges, notamment des outils de collecte d’identifiants et d’autres backdoors.
-
Vecteur initial « ClickFix »: l’utilisateur est attiré vers des sites compromis et incité à copier un script PowerShell et à l’exécuter via Windows+R (Run). Les attaquants abusent de logiciels légitimes (Node.js, PHP) pour s’implanter, en lançant des interprètes depuis des répertoires non standards comme %APPDATA%.
-
Détections Google Cloud Security: des règles ont été déployées pour les clients Enterprise/Enterprise+ de Google Security Operations (exemples: Powershell Executing NodeJS, Powershell Writing To Appdata, Suspicious Clipboard Interaction, NodeJS Reverse Shell Execution, Download to the Windows Public User Directory via PowerShell, Run Utility Spawning Suspicious Process, WSH Startup Folder LNK Creation, Trycloudflare Tunnel Network Connections). Les clients SecOps Standard/Chronicle SIEM peuvent importer les mêmes logiques depuis la communauté. 🔎
-
Requêtes de chasse (UDM) fournies:
- Exécution CORNFLAKE.V3 – Node.js: powershell.exe lançant node.exe depuis %APPDATA% avec l’argument -e (exécution directe d’une chaîne JavaScript malveillante).
- Exécution CORNFLAKE.V3 – PHP: powershell.exe lançant php.exe depuis %APPDATA% avec -d et passage de l’argument 1 (exécution discrète de code PHP sans extension .php).
- Enfants de CORNFLAKE.V3: node.exe/php.exe (dans %APPDATA%) engendrant cmd.exe ou powershell.exe.
- Connexions réseau inhabituelles depuis powershell.exe/mshta.exe vers nodejs.org ou windows.php.net.
-
Recommandations (extraites de la publication):
- Sensibiliser les utilisateurs à ClickFix et aux manipulations consistant à coller des commandes dans PowerShell/Windows Run.
- Durcir les postes: désactiver si possible la commande Windows+R via GPO/outils de gestion.
- Chasser l’intrusion: utiliser les requêtes de chasse fournies pour détecter précocement le téléchargeur initial.
- Surveiller les processus: chaînes suspectes (PowerShell téléchargeant depuis Internet puis lançant node.exe/php.exe depuis %APPDATA%).
-
IOCs et TTPs extraits:
- TTPs: ingénierie sociale (faux CAPTCHA, schéma ClickFix), exécution de scripts PowerShell via Windows Run, abus d’interpréteurs légitimes (Node.js/PHP) depuis %APPDATA%, exécution inline (Node: -e; PHP: -d … 1), spawn de cmd.exe/powershell.exe par node.exe/php.exe, téléchargements via PowerShell, raccourcis WSH dans Startup.
- Indicateurs/Patterns: chemins %APPDATA%\Roaming...\node.exe|php.exe, domaines légitimes utilisés de façon suspecte: nodejs.org, windows.php.net (dans le cadre des requêtes de chasse), détection possible de connexions Trycloudflare.
Ressources: Mandiant référence des rapports TI pour UNC5518 et UNC5774 avec IOCs additionnels, et propose un soutien en réponse à incident. Il s’agit d’une publication de recherche visant à documenter la menace et fournir des détections et requêtes de chasse opérationnelles.
🧠 TTPs et IOCs détectés
TTP
ingénierie sociale (faux CAPTCHA, schéma ClickFix), exécution de scripts PowerShell via Windows Run, abus d’interpréteurs légitimes (Node.js/PHP) depuis %APPDATA%, exécution inline (Node: -e; PHP: -d … 1), spawn de cmd.exe/powershell.exe par node.exe/php.exe, téléchargements via PowerShell, raccourcis WSH dans Startup
IOC
chemins %APPDATA%\Roaming...\node.exe|php.exe, domaines légitimes utilisés de façon suspecte: nodejs.org, windows.php.net, détection possible de connexions Trycloudflare
🔗 Source originale : https://security.googlecloudcommunity.com/community-blog-42/a-cereal-offender-analyzing-the-cornflake-v3-backdoor-5682