近日,有安全研究人员发现攻击者一直在使用CDN缓存来存储针对美国、英国、德国和日本系统的持续攻击活动中的信息窃取恶意软件。
安全研究人员认为,该活动的幕后黑手是CoralRaider,这是一个出于经济动机,窃取凭证、财务数据和社交媒体帐户的黑客组织。
黑客提供 LummaC2、Radamanthys 和 Cryptbot 信息窃取程序,这些程序可以通过恶意软件即服务平台在地下论坛上获取,但需支付订阅费。
思科 Talos 基于策略、技术和程序 (TTP) 与攻击者过去发起的攻击的相似性评估该活动是 CoralRaider 黑客组织所为。指向 CoralRaider 的线索包括初始攻击向量、使用中间 PowerShell 脚本进行解密和有效负载传输,以及绕过受害计算机上的用户访问控制 (UAC) 的特定方法。
CoralRaider的恶意软件感染链
Cisco Talos报告称,最新的 CoralRaider 攻击是从受害者打开包含恶意 Windows 快捷方式文件 (.LNK) 的存档开始的。目前尚不清楚该存档是如何传递的,但它可能作为恶意电子邮件的附件、从不受信任的位置下载或通过恶意广告进行推广。
LNK 包含 PowerShell 命令,这些命令从 Bynny 内容分发网络 (CDN) 平台上攻击者控制的子域名下载并执行混淆的 HTML 应用程序 (HTA) 文件。通过使用 CDN 缓存作为恶意软件传送服务器,攻击者可以避免请求延迟并绕过网络防御。
HTA 文件包含用于解码和运行 PowerShell 解密器脚本的 JavaScript,该脚本解压第二个脚本,该脚本在临时文件夹中写入批处理脚本。目的是通过修改 Windows Defender 排除项来绕过检测。
本机 Windows 二进制文件FoDHelper.exe LoLBin 用于编辑注册表项并绕过用户访问控制 (UAC) 安全功能。
在此步骤之后,PowerShell 脚本将下载并执行已添加到 Defender 扫描之外的位置的三个信息窃取程序(Cryptbot、LummaC2 或 Rhadamanthys)之一。
信息窃取的有效负载
Cisco Talos 表示,CoralRaider 使用了 LummaC2 和 Rhadamanthys 的最新版本,它们于 2023 年末添加了强大的功能,例如捕获RDP 登录信息 和恢复过期的 Google 帐户 cookie。
同时思科 Talos 称,CoralRaider 最近的攻击中发现的变种于 1 月份发布,具有更好的混淆和反分析机制,以及扩大的目标应用程序列表。
原创文章,作者:速盾高防cdn,如若转载,请注明出处:https://www.sudun.com/ask/35630.html
