Kampanye Malware CoralRaider Memanfaatkan Cache CDN untuk Menyebar Pencuri Informasi

Kampanye Malware CoralRaider Memanfaatkan Cache CDN untuk Menyebar Pencuri Informasi

Posted by : Admin , Apr 24, 2024
Sebuah kampanye malware baru yang sedang berlangsung telah diamati mendistribusikan tiga pencuri berbeda, seperti CryptBot, LummaC2, dan Rhadamanthys yang dihosting pada domain cache Content Delivery Network (CDN) setidaknya sejak Februari 2024.

Cisco Talos telah mengaitkan aktivitas ini dengan keyakinan moderat kepada pelaku ancaman yang dilacak sebagai CoralRaider, sebuah kelompok beroriginasi Vietnam yang diduga muncul awal bulan ini.

Penilaian ini didasarkan pada "beberapa tumpang tindih dalam taktik, teknik, dan prosedur (TTP) dari kampanye Rotbot CoralRaider, termasuk vektor serangan awal file Shortcut Windows, decryptor PowerShell intermediat dan skrip unduhan payload, teknik FoDHelper yang digunakan untuk melewati Kontrol Akses Pengguna (UAC) mesin korban," kata perusahaan itu.

Sasaran kampanye meliputi berbagai vertikal bisnis di berbagai wilayah geografis, termasuk Amerika Serikat, Nigeria, Pakistan, Ekuador, Jerman, Mesir, Inggris, Polandia, Filipina, Norwegia, Jepang, Suriah, dan Turki.

Rantai serangan melibatkan pengguna mengunduh file yang menyamar sebagai file film melalui browser web, meningkatkan kemungkinan serangan dalam skala besar.

"Pelaku ancaman ini menggunakan cache Content Delivery Network (CDN) untuk menyimpan file berbahaya di host ujung jaringan mereka dalam kampanye ini, menghindari penundaan permintaan," kata peneliti Talos Joey Chen, Chetan Raghuprasad, dan Alex Karkins. "Pelaku menggunakan cache CDN sebagai server unduhan untuk menipu pembela jaringan."

Sumber : https://thehackernews.com/2024/04/coralraider-malware-campaign-exploits.html