Un actor de amenințare a folosit un cache de rețea de livrare de conținut pentru a stoca malware-ul de furt de informații într-o campanie în curs de desfășurare care vizează sistemele din Statele Unite, Marea Britanie, Germania și Japonia.
Cercetătorii cred că în spatele acestei campanii se află CoralRaider, un actor de amenințare cu motivație financiară concentrat pe furtul de date de autentificare, date financiare și conturi de rețele sociale.
Hackerii livrează info-stealere LummaC2, Rhadamanthys și Cryptbot care sunt disponibile pe forumuri subterane din platformele de servicii de malware pentru o taxă de abonament.
Cisco Talos estimează cu încredere moderată că campania este o operațiune CoralRaider, pe baza similarităților în tactici, tehnici și proceduri (TTP-uri) cu atacurile anterioare atribuite actorului de amenințare.
Indiciile care arată că este vorba despre CoralRaider includ vectorii inițiali de atac, utilizarea de scripturi PowerShell intermediare pentru decriptare și livrare de payload-uri, și metode specifice de a ocoli controalele de acces pentru utilizator (UAC) pe mașinile victimelor.
Cisco Talos raportează că ultimele atacuri CoralRaider încep cu victima deschizând un arhivă care conține un fișier de comandă Windows malicios (.LNK).
Nu este clar cum este livrată arhiva, dar aceasta ar putea fi atașată unui e-mail malicios, descărcată de la o locație neverificată sau promovată prin intermediul malvertismentului.
Fișierul LNK conține comenzi PowerShell care descarcă și execută un fișier de aplicație HTML (HTA) puternic obfuscat de pe un subdomeniu controlat de atacator pe platforma de rețea de livrare de conținut Bynny (CDN).
Prin utilizarea cache-ului CDN ca server de distribuție a malware-ului, actorul de amenințare evită întârzierile solicitărilor și înșală și apărările rețelei.
Fișierul HTA conține JavaScript care decodează și rulează un script de decriptare PowerShell, care desface un al doilea script care scrie un script batch într-un folder temporar. Scopul este de a rămâne nedetectat prin modificarea excluderilor Windows Defender.
Un binar nativ Windows, FoDHelper.exe LoLBin, este folosit pentru a edita cheile de registru și pentru a ocoli funcția de securitate de Control al Accesului la Utilizator (UAC).
După acest pas, scriptul PowerShell descarcă și execută unul dintre cei trei info-stealeri (Cryptbot, LummaC2 sau Rhadamanthys) care au fost adăugați într-o locație exclusă de la scanarea Defender-ului.
Cisco Talos spune că CoralRaider folosește versiuni destul de recente ale LummaC2 și Rhadamanthys, care în târziul anului 2023 au adăugat funcții puternice precum capturarea autentificărilor RDP și reactivarea cookie-urilor expirate ale conturilor Google [1, 2].
Deși Cryptbot este mai puțin popular, este o amenințare de notorietate care a infectat 670.000 de computere într-un an.
Cisco Talos spune că varianta văzută în atacurile recente ale CoralRaider a fost lansată în ianuarie și are o mai bună obfuscare și mecanisme anti-analiză, precum și o listă extinsă de aplicații țintă.
Cisco Talos mai notează că Cryptbot vizează, de asemenea, baze de date pentru managerii de parole, precum și datele aplicațiilor de autentificare pentru a fura portofele de criptomonede protejate cu autentificare în doi factori.
CoralRaider este activ cel puțin din 2023 și cercetătorii cred că este bazat în Vietnam. Într-o campanie anterioară, actorul de amenințare s-a bazat pe un bot Telegram pentru comandă și control (C2) și pentru a exfiltra datele victimelor.
Victimele sale sunt în mod obișnuit din țări asiatice și din Asia de Sud-Est. Cu toate acestea, operația recentă a extins viza la Statele Unite, Nigeria, Pakistan, Ecuador, Germania, Egipt, Marea Britanie, Polonia, Filipine, Norvegia, Japonia, Siria și Turcia.
Leave a Reply