ΑρχικήSecurityΗ ομάδα CoralRaider προωθεί info-stealer malware μέσω επιθέσεων

Η ομάδα CoralRaider προωθεί info-stealer malware μέσω επιθέσεων

Η ομάδα CoralRaider, χρησιμοποιεί μια κρυφή μνήμη δικτύου παράδοσης περιεχομένου, για να αποθηκεύει info-stealer malware, σε μια συνεχιζόμενη καμπάνια που στοχεύει συστήματα στις ΗΠΑ, το Ηνωμένο Βασίλειο, τη Γερμανία και την Ιαπωνία.

Δείτε επίσης: MacOS info-stealer malware αποφεύγουν την ανίχνευση από το XProtect

ομάδα CoralRaider

Η συμμορία CoralRaider, είναι ένας παράγοντας απειλών με οικονομικά κίνητρα που επικεντρώνεται στην κλοπή διαπιστευτηρίων, οικονομικών δεδομένων και λογαριασμών μέσων κοινωνικής δικτύωσης. Οι hackers προσφέρουν τα info-stealer malware LummaC2, Rhadamanthys και Cryptbot που είναι διαθέσιμα σε παράνομα φόρουμ από πλατφόρμες malware-as-a-service, έναντι χρέωσης.

Η Cisco Talos αξιολογεί ότι η καμπάνια info-stealer malware, είναι μια επιχείρηση της CoralRaider, που βασίζεται σε τακτικές, τεχνικές και διαδικασίες (TTP) παρόμοιες με προηγούμενες επιθέσεις, που αποδίδονται στην ομάδα.

Τα ευρήματα δείχνουν προς οι επιθέσεις περιλαμβάνουν τα αρχικά διανύσματα επίθεσης, τη χρήση ενδιάμεσων σεναρίων PowerShell για αποκρυπτογράφηση και παράδοση ωφέλιμου φορτίου και συγκεκριμένες μεθόδους παράκαμψης των User Access Controls (UAC) σε μηχανήματα-θύματα.

Αλυσίδα μόλυνσης του CoralRaider

Η Cisco Talos αναφέρει ότι οι τελευταίες επιθέσεις της ομάδας CoralRaider, ξεκινούν με το θύμα να ανοίγει ένα αρχείο που περιέχει ένα κακόβουλο αρχείο συντόμευσης των Windows (.LNK).

Δείτε ακόμα: Κακόβουλες διαφημίσεις διανέμουν info-stealer malware σε MacOS

Το LNK περιέχει εντολές PowerShell που κατεβάζουν και εκτελούν ένα αρχείο Εφαρμογής HTML (HTA) από έναν υποτομέα που ελέγχεται από εισβολείς στην πλατφόρμα του δικτύου παράδοσης περιεχομένου Bynny (CDN).

Χρησιμοποιώντας τη μνήμη cache CDN ως διακομιστή παράδοσης του info-stealer malware, η ομάδα CoralRaider αποφεύγει τις καθυστερήσεις αιτημάτων και επίσης εξαπατά τις άμυνες του δικτύου.

info-stealer malware

Το αρχείο HTA περιέχει JavaScript που αποκωδικοποιεί και εκτελεί ένα σενάριο αποκρυπτογράφησης PowerShell, το οποίο αποσυσκευάζει ένα δεύτερο σενάριο που γράφει ένα σενάριο δέσμης σε έναν προσωρινό φάκελο. Ο στόχος είναι να παραμείνει απαρατήρητο, τροποποιώντας τις εξαιρέσεις του Windows Defender.

Ένα εγγενές δυαδικό αρχείο των Windows, το FoDHelper.exe LoLBin, χρησιμοποιείται για την επεξεργασία κλειδιών μητρώου και την παράκαμψη της δυνατότητας ασφαλείας Ελέγχου πρόσβασης χρήστη (UAC).

Μετά από αυτό το βήμα, η δέσμη ενεργειών PowerShell πραγματοποιεί λήψη και εκτέλεση ενός από τα τρία προγράμματα κλοπής πληροφοριών (Cryptbot, LummaC2 ή Rhadamanthys) που είχαν προστεθεί σε μια τοποθεσία που εξαιρείται από τη σάρωση του Defender.

Δείτε επίσης: 2023: Πάνω από 10 εκατ. συσκευές μολύνθηκαν με info-stealer malware

Πώς λειτουργεί το Malware as a Service;

Το Malware as a Service (MaaS), όπως το info-stealer malware της ομάδας CoralRaider, είναι ένα είδος υπηρεσίας που παρέχεται από κυβερνοεγκληματίες στο dark web. Οι χρήστες μπορούν να αγοράσουν ή να ενοικιάσουν malware, το οποίο στη συνέχεια μπορεί να χρησιμοποιηθεί για επιθέσεις κατά άλλων συστημάτων. Οι υπηρεσίες MaaS λειτουργούν με παρόμοιο τρόπο με τις νόμιμες υπηρεσίες cloud. Οι χρήστες επιλέγουν το είδος του malware που θέλουν να χρησιμοποιήσουν, πληρώνουν για την υπηρεσία και στη συνέχεια λαμβάνουν πρόσβαση στο malware μέσω μιας διεπαφής χρήστη. Το MaaS συχνά περιλαμβάνει υποστήριξη από τους προμηθευτές, παρέχοντας εκπαίδευση στους χρήστες για το πώς να χρησιμοποιούν το malware και πώς να εκτελούν επιθέσεις. Το MaaS μπορεί να περιλαμβάνει διάφορα είδη malware, συμπεριλαμβανομένων των ιών, των trojans, των ransomware και των botnets.

Πηγή: bleepingcomputer

Absenta Mia
Absenta Miahttps://secnews.gr
Being your self, in a world that constantly tries to change you, is your greater achievement
spot_img

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS