CoralRaider 攻击使用 CDN 缓存推送信息窃取恶意软件

近日,有安全研究人员发现攻击者一直在使用CDN缓存来存储针对美国、英国、德国和日本系统的持续攻击活动中的信息窃取恶意软件。

安全研究人员认为,该活动的幕后黑手是CoralRaider,这是一个出于经济动机,窃取凭证、财务数据和社交媒体帐户的黑客组织。

黑客提供 LummaC2、Radamanthys 和 Cryptbot 信息窃取程序,这些程序可以通过恶意软件即服务平台在地下论坛上获取,但需支付订阅费。

思科 Talos 基于策略、技术和程序 (TTP) 与攻击者过去发起的攻击的相似性评估该活动是 CoralRaider 黑客组织所为。指向 CoralRaider 的线索包括初始攻击向量、使用中间 PowerShell 脚本进行解密和有效负载传输,以及绕过受害计算机上的用户访问控制 (UAC) 的特定方法。

CoralRaider 的攻击传播

CoralRaider的恶意软件感染链

Cisco Talos报告称,最新的 CoralRaider 攻击是从受害者打开包含恶意 Windows 快捷方式文件 (.LNK) 的存档开始的。目前尚不清楚该存档是如何传递的,但它可能作为恶意电子邮件的附件、从不受信任的位置下载或通过恶意广告进行推广。

LNK 包含 PowerShell 命令,这些命令从 Bynny 内容分发网络 (CDN) 平台上攻击者控制的子域名下载并执行混淆的 HTML 应用程序 (HTA) 文件。通过使用 CDN 缓存作为恶意软件传送服务器,攻击者可以避免请求延迟并绕过网络防御。

HTA 文件包含用于解码和运行 PowerShell 解密器脚本的 JavaScript,该脚本解压第二个脚本,该脚本在临时文件夹中写入批处理脚本。目的是通过修改 Windows Defender 排除项来绕过检测。

本机 Windows 二进制文件FoDHelper.exe LoLBin 用于编辑注册表项并绕过用户访问控制 (UAC) 安全功能。

在此步骤之后,PowerShell 脚本将下载并执行已添加到 Defender 扫描之外的位置的三个信息窃取程序(Cryptbot、LummaC2 或 Rhadamanthys)之一。

感染链图

信息窃取的有效负载

Cisco Talos 表示,CoralRaider 使用了 LummaC2 和 Rhadamanthys 的最新版本,它们于 2023 年末添加了强大的功能,例如捕获RDP 登录信息 和恢复过期的 Google 帐户 cookie。

同时思科 Talos 称,CoralRaider 最近的攻击中发现的变种于 1 月份发布,具有更好的混淆和反分析机制,以及扩大的目标应用程序列表。

最新 Cryptbot 版本的目标应用程序

Cisco Talos 还指出,Cryptbot 的目标还包括密码管理器数据库以及身份验证器应用程序数据,以窃取受双因素身份验证保护的加密货币钱包。CoralRaider 至少从 2023 年起就一直活跃,研究人员认为它的总部位于越南。在 之前的一次活动中攻击者通过Telegram 机器人进行命令和控制 (C2) 并窃取受害者数据。
其受害者通常位于亚洲和东南亚国家。然而,最新行动已将目标扩大到美国、尼日利亚、巴基斯坦、厄瓜多尔、德国、埃及、英国、波兰、菲律宾、挪威、日本、叙利亚和土耳其。
原文地址:https://www.bleepingcomputer.com/news/security/coralraider-attacks-use-cdn-cache-to-push-info-stealer-malware/
图片来源:https://www.bleepingcomputer.com/news/security/coralraider-attacks-use-cdn-cache-to-push-info-stealer-malware/

原创文章,作者:速盾高防cdn,如若转载,请注明出处:https://www.sudun.com/ask/35630.html

(0)
速盾高防cdn's avatar速盾高防cdn
上一篇 2024年4月25日 下午4:40
下一篇 2024年4月25日 下午5:40

相关推荐

  • 高防IP可以帮助游戏行业避免哪些安全隐患?

    大家好,今天我们要聊的是对游戏行业非常重要的——个高度保护的IP。你知道吗?这就像游戏中的一个超级,保护着玩家的游戏世界不被入侵。那么到底能避免什么样的游戏安全危机呢?别担心,我们…

    DDOS防护 2024年5月18日
    0
  • 编程小白从什么学起好

    编程小白应该首先学习语言基础、理解编程逻辑、掌握数据结构与算法、熟练使用开发工具。特别是语言基础是初学者编程最重要的起点。语言的基础不仅仅是学习如何编写代码,更重要的是通过语言理解…

    DDOS防护 2024年5月18日
    0
  • 手机网页被劫持跳转

    标题:手机网页被劫持跳转:原因、危害与解决方案大揭秘! 导语: 嘿,大家好,我是速盾CDN小编。你有没有遇到过手机上浏览网页的时候,突然被不明网站劫持跳转的情况?这种经历真的超级让…

    2024年5月13日
    0
  • 怎么解决运营商劫持网站

    标题:怎么解决运营商劫持网站 导语: 嘿,大家好啊!我是速盾CDN小编,今天要和大家聊一聊一个挺烦人的问题——运营商劫持网站。你有没有遇到过打开一个网站,结果被重定向到一个你完全不…

    2024年5月15日
    0

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注