CoralRaider 利用 CDN 缓存传播恶意软件
💡
原文中文,约1700字,阅读约需4分钟。
📝
内容提要
研究人员发现黑客组织CoralRaider使用网络缓存传播恶意软件,窃取凭证、财务数据和社交媒体账户。攻击始于受害者打开恶意快捷方式文件,通过CDN缓存交付恶意软件,绕过网络防御系统。黑客组织使用新版本的LummaC2和Rhadamanthys,窃取RDP登录和谷歌账户cookie。他们还瞄准密码管理器和验证器应用程序的数据库,扩大攻击目标到多个国家。
🎯
关键要点
- 研究人员发现黑客组织CoralRaider使用网络缓存传播恶意软件。
- 攻击目标包括美国、英国、德国和日本的系统。
- CoralRaider窃取凭证、财务数据和社交媒体账户。
- 攻击始于受害者打开包含恶意Windows快捷方式文件的压缩包。
- 恶意软件通过CDN缓存交付,绕过网络防御系统。
- 使用新的LummaC2和Rhadamanthys版本,增加了捕获RDP登录和谷歌账户cookie的功能。
- Cryptbot仍然是一个巨大的威胁,曾感染67万台电脑。
- CoralRaider的攻击目标已扩展到多个国家,包括尼日利亚、巴基斯坦和厄瓜多尔等。
- 该组织自2023年开始频繁活动,总部位于越南。
❓
延伸问答
CoralRaider是如何传播恶意软件的?
CoralRaider通过网络缓存传播恶意软件,利用CDN缓存绕过网络防御系统。
CoralRaider的攻击目标有哪些国家?
CoralRaider的攻击目标包括美国、英国、德国、日本、尼日利亚、巴基斯坦和厄瓜多尔等多个国家。
CoralRaider使用了哪些恶意软件工具?
CoralRaider使用了LummaC2、Rhadamanthys和Cryptbot等信息窃取程序。
攻击是如何开始的?
攻击始于受害者打开包含恶意Windows快捷方式文件的压缩包。
CoralRaider的攻击手法有什么特点?
CoralRaider的攻击手法包括使用PowerShell脚本解密和传输有效载荷,以及绕过用户访问控制。
Cryptbot对用户的威胁是什么?
Cryptbot可以窃取密码管理器和验证器应用程序的数据,甚至受双因素验证保护的加密货币钱包。
➡️
