Bir tehdit aktörü, ABD, İngiltere, Almanya ve Japonya’yı hedef alan devam eden bir kampanyada bilgi çalan kötü amaçlı yazılımları depolamak için bir içerik dağıtım ağı önbelleği kullanıyor.
Araştırmacılar, kampanyanın arkasında kimlik bilgilerini, finansal verileri ve sosyal medya hesaplarını çalmaya odaklanan, finansal motivasyona sahip bir tehdit aktörü olan CoralRaider’ın olduğuna inanıyor.
Bilgisayar korsanları, bir abonelik ücreti karşılığında hizmet olarak kötü amaçlı yazılım platformlarından yer altı forumlarında bulunan LummaC2, Rhadamanthys ve Cryptbot bilgi hırsızlarını sunuyor.
Cisco Talos, saldırının, tehdit aktörüne atfedilen geçmiş saldırılarla taktikler, teknikler ve prosedürler (TTP’ler) arasındaki benzerliklere dayanan bir CoralRaider operasyonu olduğunu orta düzeyde bir güvenle değerlendiriyor.
CoralRaider’a işaret eden ipuçları arasında ilk saldırı vektörleri, şifre çözme ve yük dağıtımı için ara PowerShell komut dosyalarının kullanımı ve kurban makinelerde Kullanıcı Erişim Kontrollerini (UAC) atlamak için özel yöntemler yer alıyor.
Cisco Talos
CoralRaider enfeksiyon zinciri
Cisco Talos, en son CoralRaider saldırılarının, kurbanın kötü amaçlı bir Windows kısayol dosyası (.LNK) içeren bir arşivi açmasıyla başladığını bildirdi.
Arşivin nasıl teslim edildiği belli değil ancak kötü amaçlı bir e-postanın eki, güvenilmeyen bir konumdan indirme veya kötü amaçlı reklam yoluyla tanıtılıyor olabilir.
LNK, Bynny içerik dağıtım ağı (CDN) platformundaki saldırgan tarafından kontrol edilen bir alt alan adından oldukça karmaşık bir HTML Uygulaması (HTA) dosyası indirip çalıştıran PowerShell komutlarını içerir.
Tehdit aktörü, CDN önbelleğini kötü amaçlı yazılım dağıtım sunucusu olarak kullanarak istek gecikmelerini önler ve ayrıca ağ savunmalarını aldatır.
HTA dosyası, geçici bir klasöre toplu komut dosyası yazan ikinci bir komut dosyasını açan bir PowerShell şifre çözücü komut dosyasının kodunu çözen ve çalıştıran JavaScript içerir. Amaç, Windows Defender dışlamalarını değiştirerek tespit edilmeden kalmaktır.
Yerel bir Windows ikili dosyası, FoDHelper.exe LoLBin, kayıt defteri anahtarlarını düzenlemek ve Kullanıcı Erişim Kontrolü (UAC) güvenlik özelliğini atlamak için kullanılır.
Bu adımdan sonra PowerShell betiği, Defender’ın taraması dışında kalan bir konuma eklenen üç bilgi hırsızından (Cryptbot, LummaC2 veya Rhadamanthys) birini indirir ve çalıştırır.
Cisco Talos
Bilgi hırsızlığı yapan yükler
Cisco Talos, CoralRaider’ın LummaC2 ve Rhadamanthys’in oldukça yeni sürümlerini kullandığını söylüyor; bu sürümler, 2023’ün sonlarında RDP oturum açma bilgilerini yakalamak ve süresi dolmuş Google hesabı çerezlerini yeniden canlandırmak gibi güçlü özellikler ekledi [1, 2].
Cryptbot daha az popüler olmasına rağmen yılda 670.000 bilgisayara bulaşan dikkate değer bir tehdittir.
Cisco Talos, CoralRaider’ın son saldırılarında görülen varyantın Ocak ayında yayınlandığını ve daha iyi gizleme ve anti-analiz mekanizmalarına ve genişletilmiş hedeflenen uygulamalar listesine sahip olduğunu söylüyor.
Cisco Talos
Cisco Talos ayrıca, Cryptbot’un iki faktörlü kimlik doğrulamayla korunan kripto para birimi cüzdanlarını çalmak için şifre yöneticilerine yönelik veritabanlarının yanı sıra kimlik doğrulayıcı uygulama verilerini de hedeflediğini belirtiyor.
CoralRaider en az 2023’ten beri aktif ve araştırmacılar onun Vietnam merkezli olduğuna inanıyor. Önceki bir kampanyada tehdit aktörü, komuta ve kontrol (C2) ve kurban verilerini sızdırmak için bir Telegram botuna güveniyordu.
Kurbanları genellikle Asya ve Güneydoğu Asya ülkelerindendir. Ancak son operasyon ABD, Nijerya, Pakistan, Ekvador, Almanya, Mısır, İngiltere, Polonya, Filipinler, Norveç, Japonya, Suriye ve Türkiye’yi hedef alacak şekilde genişletildi.