CoralRaider 攻击使用 CDN 快取进行信息窃取
关键要点
潜在越南黑客组织 CoralRaider 正在攻击美国、德国、日本和英国的系统。攻击利用 CDN 快取来部署信息窃取恶意软件。攻击开始于一个包含恶意 LNK 文件的档案,当打开时会执行从 CDN 平台子域中检索的 HTML 应用文件。CoralRaider 使用了更新版本的 Rhadamanthys、LummaC2 和 CryptoBot 恶意软件。根据 BleepingComputer 的报导,潜在的越南黑客团体 CoralRaider 正在对美国、德国、日本和英国的系统发动持续攻击。他们利用内容传递网络CDN快取来推动信息窃取的恶意负载。
根据 Cisco Talos 的报告,入侵活动始于发送一个包含恶意 LNK 文件的档案,当该档案被打开时,它会运行从 CDN 平台子域检索的 HTML 应用文件,以避免检测。这种 HTA 文件能够执行一个 PowerShell 解密脚本,旨在规避 Windows Defender,然后部署 Rhadamanthys、LummaC2 或 Cryptbot 信息窃取者。
进一步调查显示,CoralRaider 利用了 Rhadamanthys 和 LummaC2 恶意软件的较新版本,以及一个经过改良的 Cryptbot,这些改进包括更全面的目标和改进的反分析与混淆技术。这一系列攻击被认为与 CoralRaider 相关,因为在该组织以往攻击中观察到的策略、技术和程序均有出现。
这些攻击凸显了 CDN 快取被用作恶意活动的新手段,企业需要加强安全防护措施,以应对日益增长的威胁。
蚂蚁加速最新版2.2.16
