Bir tehdit oyuncusu, ABD, İngiltere, Almanya ve Japonya'nın devam eden bir kampanya hedefleme sistemlerinde bilgi çalma kötü amaçlı yazılımları depolamak için bir içerik dağıtım ağı önbelleği kullanıyor.
Araştırmacılar, kampanyanın arkasında, kimlik bilgilerini, finansal verileri ve sosyal medya hesaplarını çalmaya odaklanan finansal olarak motive olmuş bir tehdit oyuncusu olan Coralraider olduğuna inanıyorlar.
Bilgisayar korsanları, bir abonelik ücreti için hizmet olarak kötü amaçlı yazılım platformlarından yeraltı forumlarında bulunan Lummac2, Rhadamanthys ve CryptBot Bilgi Stealers'ı teslim eder.
Cisco Talos, Kampanyanın, tehdit aktörüne atfedilen geçmiş saldırılarla taktikler, teknikler ve prosedürlerdeki (TTP'ler) benzerliklere dayanan bir coralraider operasyonu olduğuna dair ılımlı bir güvenle değerlendiriyor.
Coralraider'e işaret eden ipuçları arasında ilk saldırı vektörleri, şifre çözme ve yük teslimatı için ara PowerShell komut dosyalarının kullanılması ve kurban makinelerinde kullanıcı erişim kontrollerini (UAC) atlamak için belirli yöntemler bulunur.
Cisco Talos, en son coralraider saldırılarının kurbanın kötü niyetli bir Windows kısayol dosyası (.lnk) içeren bir arşiv açmasıyla başladığını bildirdi.
Arşivin nasıl teslim edildiği belirsizdir, ancak kötü niyetli bir e -postaya, güvenilmeyen bir konumdan indirme veya kötü niyetli olarak tanıtılan bir ek olarak olabilir.
LNK, BYNNY İçerik Dağıtım Ağı (CDN) platformundaki saldırgan kontrollü bir alt alandan ağır bir şekilde gizlenmiş bir HTML Uygulaması (HTA) dosyasını indiren ve yürüten PowerShell komutları içerir.
CDN önbelleğini kötü amaçlı yazılım dağıtım sunucusu olarak kullanarak, tehdit oyuncusu istek gecikmelerini önler ve ağ savunmalarını aldatır.
HTA dosyası, geçici bir klasörde bir parti komut dosyasını yazan ikinci bir komut dosyasını açan bir PowerShell DeRrypter komut dosyasını çözen ve çalıştıran JavaScript içerir. Amaç, Windows Defender istisnalarını değiştirerek tespit edilmemektir.
Yerel bir Windows ikili olan Fodhelper.exe lolbin, kayıt defteri anahtarlarını düzenlemek ve kullanıcı erişim kontrolü (UAC) güvenlik özelliğini atlamak için kullanılır.
Bu adımdan sonra, PowerShell betiği, Defender'ın taramasından hariç tutulan bir yerde eklenen üç bilgi çalmacılarından (CryptBot, Lummac2 veya Rhadamanthys) birini indirir ve yürütür.
Cisco Talos, Coralraider'in 2023'ün sonlarında RDP girişlerini yakalamak ve süresi dolmuş Google hesap çerezlerini canlandırmak gibi güçlü özellikler ekleyen Lummac2 ve Rhadamanthys'in oldukça yeni sürümlerini kullandığını söylüyor [1, 2].
Cryptbot daha az popüler olmasına rağmen, yılda 670.000 bilgisayarı enfekte eden dikkate değer bir tehdittir.
Cisco Talos, Coralraider’in son saldırılarında görülen varyantın Ocak ayında piyasaya sürüldüğünü ve daha iyi gizleme ve anti-analiz mekanizmalarına ve genişletilmiş hedeflenen uygulamalara sahip olduğunu söylüyor.
Cisco Talos ayrıca, CryptBot'un parola yöneticileri için veritabanlarını ve iki faktörlü kimlik doğrulama ile korunan kripto para cüzdanlarını çalmak için Authenticator uygulamaları verilerini hedeflediğini de not ediyor.
Coralraider en az 2023'ten beri aktif ve araştırmacılar bunun Vietnam'da bulunduğuna inanıyor. Önceki bir kampanyada, tehdit oyuncusu komut ve kontrol (C2) için bir telgraf botuna güveniyordu ve kurban verilerini yaymak için.
Kurbanları tipik olarak Asya ve Güneydoğu Asya ülkelerinde. Bununla birlikte, son operasyon ABD, Nijerya, Pakistan, Ekvador, Almanya, Mısır, İngiltere, Polonya, Filipinler, Norveç, Japonya, Suriye ve Türkiye'ye hedeflemeyi artırdı.
PYPI, kötü amaçlı yazılım kampanyasını engellemek için yeni kullanıcı kaydını askıya alıyor
Hackerlar En Büyük Discord Bot Platformundan Kaynak Kodu
100'den fazla ABD ve AB orgs Strelastealer kötü amaçlı yazılım saldırılarını hedef aldı
Sahte hile, oyuncuları infostealer kötü amaçlı yazılımları yaymaya yemin eder
Kötü niyetli PowerShell Script, kötü amaçlı yazılımları itmek AI tarafından yazılmış görünüyor
Kaynak: Bleeping Computer