Η ομάδα CoralRaider προωθεί info-stealer malware μέσω επιθέσεων
secnews.gr
IT Security News, Gadgets, Tweaks for Geeks and More
Η ομάδα CoralRaider προωθεί info-stealer malware μέσω επιθέσεων
https://www.secnews.gr/535734/omada-coralraider-proothoun-info-stealer-malware/
Apr 24th 2024, 14:46
Η ομάδα CoralRaider, χρησιμοποιεί μια κρυφή μνήμη δικτύου παράδοσης περιεχομένου, για να αποθηκεύει info-stealer malware, σε μια συνεχιζόμενη καμπάνια που στοχεύει συστήματα στις ΗΠΑ, το Ηνωμένο Βασίλειο, τη Γερμανία και την Ιαπωνία.
Δείτε επίσης: MacOS info-stealer malware αποφεύγουν την ανίχνευση από το XProtect
Η συμμορία CoralRaider, είναι ένας παράγοντας απειλών με οικονομικά κίνητρα που επικεντρώνεται στην κλοπή διαπιστευτηρίων, οικονομικών δεδομένων και λογαριασμών μέσων κοινωνικής δικτύωσης. Οι hackers προσφέρουν τα info-stealer malware LummaC2, Rhadamanthys και Cryptbot που είναι διαθέσιμα σε παράνομα φόρουμ από πλατφόρμες malware-as-a-service, έναντι χρέωσης.
Η Cisco Talos αξιολογεί ότι η καμπάνια info-stealer malware, είναι μια επιχείρηση της CoralRaider, που βασίζεται σε τακτικές, τεχνικές και διαδικασίες (TTP) παρόμοιες με προηγούμενες επιθέσεις, που αποδίδονται στην ομάδα.
Τα ευρήματα δείχνουν προς οι επιθέσεις περιλαμβάνουν τα αρχικά διανύσματα επίθεσης, τη χρήση ενδιάμεσων σεναρίων PowerShell για αποκρυπτογράφηση και παράδοση ωφέλιμου φορτίου και συγκεκριμένες μεθόδους παράκαμψης των User Access Controls (UAC) σε μηχανήματα-θύματα.
Αλυσίδα μόλυνσης του CoralRaider
Η Cisco Talos αναφέρει ότι οι τελευταίες επιθέσεις της ομάδας CoralRaider, ξεκινούν με το θύμα να ανοίγει ένα αρχείο που περιέχει ένα κακόβουλο αρχείο συντόμευσης των Windows (.LNK).
Δείτε ακόμα: Κακόβουλες διαφημίσεις διανέμουν info-stealer malware σε MacOS
Το LNK περιέχει εντολές PowerShell που κατεβάζουν και εκτελούν ένα αρχείο Εφαρμογής HTML (HTA) από έναν υποτομέα που ελέγχεται από εισβολείς στην πλατφόρμα του δικτύου παράδοσης περιεχομένου Bynny (CDN).
Χρησιμοποιώντας τη μνήμη cache CDN ως διακομιστή παράδοσης του info-stealer malware, η ομάδα CoralRaider αποφεύγει τις καθυστερήσεις αιτημάτων και επίσης εξαπατά τις άμυνες του δικτύου.
Το αρχείο HTA περιέχει JavaScript που αποκωδικοποιεί και εκτελεί ένα σενάριο αποκρυπτογράφησης PowerShell, το οποίο αποσυσκευάζει ένα δεύτερο σενάριο που γράφει ένα σενάριο δέσμης σε έναν προσωρινό φάκελο. Ο στόχος είναι να παραμείνει απαρατήρητο, τροποποιώντας τις εξαιρέσεις του Windows Defender.
Ένα εγγενές δυαδικό αρχείο των Windows, το FoDHelper.exe LoLBin, χρησιμοποιείται για την επεξεργασία κλειδιών μητρώου και την παράκαμψη της δυνατότητας ασφαλείας Ελέγχου πρόσβασης χρήστη (UAC).
Μετά από αυτό το βήμα, η δέσμη ενεργειών PowerShell πραγματοποιεί λήψη και εκτέλεση ενός από τα τρία προγράμματα κλοπής πληροφοριών (Cryptbot, LummaC2 ή Rhadamanthys) που είχαν προστεθεί σε μια τοποθεσία που εξαιρείται από τη σάρωση του Defender.
Δείτε επίσης: 2023: Πάνω από 10 εκατ. συσκευές μολύνθηκαν με info-stealer malware
Πώς λειτουργεί το Malware as a Service;
Το Malware as a Service (MaaS), όπως το info-stealer malware της ομάδας CoralRaider, είναι ένα είδος υπηρεσίας που παρέχεται από κυβερνοεγκληματίες στο dark web. Οι χρήστες μπορούν να αγοράσουν ή να ενοικιάσουν malware, το οποίο στη συνέχεια μπορεί να χρησιμοποιηθεί για επιθέσεις κατά άλλων συστημάτων. Οι υπηρεσίες MaaS λειτουργούν με παρόμοιο τρόπο με τις νόμιμες υπηρεσίες cloud. Οι χρήστες επιλέγουν το είδος του malware που θέλουν να χρησιμοποιήσουν, πληρώνουν για την υπηρεσία και στη συνέχεια λαμβάνουν πρόσβαση στο malware μέσω μιας διεπαφής χρήστη. Το MaaS συχνά περιλαμβάνει υποστήριξη από τους προμηθευτές, παρέχοντας εκπαίδευση στους χρήστες για το πώς να χρησιμοποιούν το malware και πώς να εκτελούν επιθέσεις. Το MaaS μπορεί να περιλαμβάνει διάφορα είδη malware, συμπεριλαμβανομένων των ιών, των trojans, των ransomware και των botnets.
Πηγή: bleepingcomputer
You are receiving this email because you subscribed to this feed at https://blogtrottr.com
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz
IT Security News, Gadgets, Tweaks for Geeks and More
Η ομάδα CoralRaider προωθεί info-stealer malware μέσω επιθέσεων
https://www.secnews.gr/535734/omada-coralraider-proothoun-info-stealer-malware/
Apr 24th 2024, 14:46
Η ομάδα CoralRaider, χρησιμοποιεί μια κρυφή μνήμη δικτύου παράδοσης περιεχομένου, για να αποθηκεύει info-stealer malware, σε μια συνεχιζόμενη καμπάνια που στοχεύει συστήματα στις ΗΠΑ, το Ηνωμένο Βασίλειο, τη Γερμανία και την Ιαπωνία.
Δείτε επίσης: MacOS info-stealer malware αποφεύγουν την ανίχνευση από το XProtect
Η συμμορία CoralRaider, είναι ένας παράγοντας απειλών με οικονομικά κίνητρα που επικεντρώνεται στην κλοπή διαπιστευτηρίων, οικονομικών δεδομένων και λογαριασμών μέσων κοινωνικής δικτύωσης. Οι hackers προσφέρουν τα info-stealer malware LummaC2, Rhadamanthys και Cryptbot που είναι διαθέσιμα σε παράνομα φόρουμ από πλατφόρμες malware-as-a-service, έναντι χρέωσης.
Η Cisco Talos αξιολογεί ότι η καμπάνια info-stealer malware, είναι μια επιχείρηση της CoralRaider, που βασίζεται σε τακτικές, τεχνικές και διαδικασίες (TTP) παρόμοιες με προηγούμενες επιθέσεις, που αποδίδονται στην ομάδα.
Τα ευρήματα δείχνουν προς οι επιθέσεις περιλαμβάνουν τα αρχικά διανύσματα επίθεσης, τη χρήση ενδιάμεσων σεναρίων PowerShell για αποκρυπτογράφηση και παράδοση ωφέλιμου φορτίου και συγκεκριμένες μεθόδους παράκαμψης των User Access Controls (UAC) σε μηχανήματα-θύματα.
Αλυσίδα μόλυνσης του CoralRaider
Η Cisco Talos αναφέρει ότι οι τελευταίες επιθέσεις της ομάδας CoralRaider, ξεκινούν με το θύμα να ανοίγει ένα αρχείο που περιέχει ένα κακόβουλο αρχείο συντόμευσης των Windows (.LNK).
Δείτε ακόμα: Κακόβουλες διαφημίσεις διανέμουν info-stealer malware σε MacOS
Το LNK περιέχει εντολές PowerShell που κατεβάζουν και εκτελούν ένα αρχείο Εφαρμογής HTML (HTA) από έναν υποτομέα που ελέγχεται από εισβολείς στην πλατφόρμα του δικτύου παράδοσης περιεχομένου Bynny (CDN).
Χρησιμοποιώντας τη μνήμη cache CDN ως διακομιστή παράδοσης του info-stealer malware, η ομάδα CoralRaider αποφεύγει τις καθυστερήσεις αιτημάτων και επίσης εξαπατά τις άμυνες του δικτύου.
Το αρχείο HTA περιέχει JavaScript που αποκωδικοποιεί και εκτελεί ένα σενάριο αποκρυπτογράφησης PowerShell, το οποίο αποσυσκευάζει ένα δεύτερο σενάριο που γράφει ένα σενάριο δέσμης σε έναν προσωρινό φάκελο. Ο στόχος είναι να παραμείνει απαρατήρητο, τροποποιώντας τις εξαιρέσεις του Windows Defender.
Ένα εγγενές δυαδικό αρχείο των Windows, το FoDHelper.exe LoLBin, χρησιμοποιείται για την επεξεργασία κλειδιών μητρώου και την παράκαμψη της δυνατότητας ασφαλείας Ελέγχου πρόσβασης χρήστη (UAC).
Μετά από αυτό το βήμα, η δέσμη ενεργειών PowerShell πραγματοποιεί λήψη και εκτέλεση ενός από τα τρία προγράμματα κλοπής πληροφοριών (Cryptbot, LummaC2 ή Rhadamanthys) που είχαν προστεθεί σε μια τοποθεσία που εξαιρείται από τη σάρωση του Defender.
Δείτε επίσης: 2023: Πάνω από 10 εκατ. συσκευές μολύνθηκαν με info-stealer malware
Πώς λειτουργεί το Malware as a Service;
Το Malware as a Service (MaaS), όπως το info-stealer malware της ομάδας CoralRaider, είναι ένα είδος υπηρεσίας που παρέχεται από κυβερνοεγκληματίες στο dark web. Οι χρήστες μπορούν να αγοράσουν ή να ενοικιάσουν malware, το οποίο στη συνέχεια μπορεί να χρησιμοποιηθεί για επιθέσεις κατά άλλων συστημάτων. Οι υπηρεσίες MaaS λειτουργούν με παρόμοιο τρόπο με τις νόμιμες υπηρεσίες cloud. Οι χρήστες επιλέγουν το είδος του malware που θέλουν να χρησιμοποιήσουν, πληρώνουν για την υπηρεσία και στη συνέχεια λαμβάνουν πρόσβαση στο malware μέσω μιας διεπαφής χρήστη. Το MaaS συχνά περιλαμβάνει υποστήριξη από τους προμηθευτές, παρέχοντας εκπαίδευση στους χρήστες για το πώς να χρησιμοποιούν το malware και πώς να εκτελούν επιθέσεις. Το MaaS μπορεί να περιλαμβάνει διάφορα είδη malware, συμπεριλαμβανομένων των ιών, των trojans, των ransomware και των botnets.
Πηγή: bleepingcomputer
You are receiving this email because you subscribed to this feed at https://blogtrottr.com
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz
Σχόλια