CoralRaider zloupotrebljava CDN platforme
Prema nedavnom izvještaju kompanije Cisco Talos, CoralRaider koristi CDN platforme za širenje zlonamjernog softvera, prvenstveno u Sjedinjenim Američkim Državama, Ujedinjenom Kraljevstvu, Njemačkoj i Japanu. Kampanja ove grupe ima za cilj krađu akreditiva, finansijskih informacija i naloga na društvenim mrežama koristeći široko dostupne kradljivce informacija kao što su LummaC2, Rhadamanthys i Cryptbot po modelu zlonamjerni softver kao servis (eng. malware-as-a-service – MaaS).
CORALRAIDER
CoralRaider je zlonamjerni akter vijetnamskog porijekla, finansijski motivisan i fokusiran na sticanje akreditiva, finansijskih podataka i naloga na društvenim mrežama. Oni su aktivni od najmanje 2023. godine i poznato je da koriste kradljivce informacija kao što su LummaC2, Rhadamanthys i Cryptbot dobijene sa platformi zlonamjernog softvera kao servis dostupnih na podzemnim forumima.
Najnovija operacija CoralRaider grupe je prvi put identifikovana u januaru 2023. godine i njen cilj su preduzeća u različitim vertikalama i geografskim područjima, uključujući SAD, Nigeriju, Pakistan, Ekvador, Njemačku, Egipat, Velika Britaniju, Poljsku, Filipine, Norvešku, Japan, Siriju i Tursku. Lanci napada grupe uključuju korisnike koji preuzimaju datoteke maskirane u filmske datoteke preko internet pregledača, što povećava mogućnost napada velikih razmjera.
Zloupotreba CDN platforme
CoralRaider grupa se u početku oslanjala na Telegram bot za funkcije komandovanja i kontrole (C2) i eksfiltraciju podataka, ali je nedavno proširila svoje mogućnosti koristeći mrežu za isporuku sadržaja (eng. Content Delivery Network – CDN) u svojim napadima.
Zlonamjerni akteri u ovoj kampanji koriste CDN platforme za skladištenje zlonamjernih datoteka na ivici mreže i izbjegavanje kašnjenja zahteva. Zlonamjerni akteri koriste CDN platforme kao server za preuzimanje da obmanu zaštitne mehanizme mreže, čineći otkrivanje i blokiranje njihovih napada težim.
Proces infekcije
Sumnja se da su inicijalni vektor pristupa za preuzimanja CoralRaider zlonamjernog softvera napadi u prolazu (eng. drive-by downloads) pomoću phishing poruka elektronske pošte koji sadrže obmanjujuće veze koje upućuju na ZIP arhive koje sadrže datoteku Windows prečice (LNK). LNK datoteka, zauzvrat, pokreće PowerShell skriptu koja preuzima korisni teret sljedeći faze HTML aplikacije (HTA) koji se nalazi na CDN platformi.
Ovaj HTA korisni teret naknadno pokreće JavaScript kôd za pokretanje ugrađenog PowerShell učitavača koji preduzima korake da napravi izuzetke od skeniranja u Windows Defender sigurnosnoj aplikaciji, kao i da zaobiđe korisničke kontrole pristupa (eng. User Access Controls – UAC) na uređaju žrtve koristeći poznatu tehniku koja se zove FodHelper.
FodHelper
FodHelper je legitimna alatka koju je razvila kompanija Microsoft za tiho instaliranje softverskih paketa bez interakcije korisnika, ali su je takođe koristili različiti zlonamjerni akteri, uključujući CoralRaider i druge vijetnamske grupe povezane sa drugim zlonamjernim softverom za krađu poznatim kao NodeStealer. Tehnika FodHelper omogućava pokretanje skripte za PowerShell uz učitavanje sa administrativnim privilegijama, omogućavajući joj da preuzme i izvrši jedan od tri zlonamjerna softvera za krađu: LummaC2, Rhadamanthys ili Cryptbot.
LummaC2 i Rhadamanthys
LummaC2 i Rhadamanthys su nedavne nadogradnje postojećim kradljivcima informacija koje su dodale moćne mogućnosti kao što su preuzimanje prijava za udaljenu radnu površinu (eng. Remote Desktop Protocol – RDP) i oživljavanje kolačića Google naloga koji su istekli. Ovi zlonamjerni softveri mogu da ukradu osjetljive podatke, uključujući akreditive za različite aplikacije, internet pregledače, klijente elektronske pošte i novčanike za kriptovalute zaštićene autentifikacijom u dva koraka.
Cryptbot
Cryptbot je ogromna prijetnja koja postoji najmanje od 2016. godine i za koju se ranije znalo da cilja na zemlje Azije i Jugoistočne Azije. Međutim, CoralRaider najnovija varijanta Cryptbot predstavljena u januaru ima poboljšano zamagljivanje, mehanizme protiv analize i proširenu listu ciljanih aplikacija. Ova ažurirana verzija može da ukrade podatke iz različitih internet pregledača, klijenata elektronske pošte, FTP servera, baza podataka menadžera lozinki i aplikacija za autentifikaciju, pa čak i novčanike za kriptovalute zaštićene autentifikacijom u dva koraka.
ZAKLJUČAK
CoralRaider je grupa zlonamjernih aktera odgovorna za distribuciju različitog zlonamjernog softvera kroz više kampanja. Njihova taktika podrazumijeva korištenje zlonamjernih LNK datoteka i PowerShell skripti za preuzimanje i izvršavanje zlonamjernog softvera sa poddomena koje oni kontrolišu na CDN platformama, zaobilazeći UAC i dodajući izuzetke za Windows Defender sigurnosnu aplikaciju. Oni imaju za cilj da ukradu akreditive, finansijske informacije i naloge društvenih medija i distribuiraju svoj zlonamjerni softver prema modelu zlonamjerni softver kao servis (MaaS). Njihove prethodne kampanje su uključivale slične metode, a korišćeni zlonamjerni softver je uključio funkcije za izbjegavanje otkrivanja i analize.
ZAŠTITA
Kako bi zaštitili svoj Windows operativni sistem od CoralRaider prijetnje, koja zloupotrebljava FodHelper da bi izvršila zlonamjerne komande bez interakcije korisnika i zaobišla otkrivanje od strane Windows Defender sigurnosne aplikacije, slijedite ove preporučene korake:
- Uvjeriti se da je vaš operativni sistem Windows ažuriran sa najnovijim bezbjednim ispravkama i ažuriranjima. Redovno provjeravati da li postoje dostupne ispravke preko Windows Update ili WSUS (Windows Server Update Services) servisa,
- Koristiti renomirano antivirusno rješenje kako bi se zaštitio sistem od poznatog zlonamjernog softvera i prijetnji kao što je CoralRaider. Osigurati da je antivirusni softver ažuriran najnovijim definicijama,
- Omogućiti kontrolu korisničkog naloga (UAC) koja pomaže u sprečavanju neovlaštenih promjena na računaru tako što traži potvrdu pre nego što dozvoli potencijalno štetne radnje. Ovo se može uraditi preko kontrolne table pod “Korisnički nalozi” > “Promjeni podešavanja kontrole korisničkog naloga”. Podešavanje postaviti na najviši nivo, koji će pružiti najveću zaštitu,
- Pošto CoralRaider zloupotrebljava specifične ključeve sistemskih registara za svoje zlonamjerne aktivnosti, onemogućavanje ili uklanjanje nepotrebnih i neiskorištenih ključeva registara može pomoći da se minimiziraju potencijalni vektori napada. Biti oprezni kada se unose promjene u registar sistema – uvijek napraviti rezervnu kopiju pre nego što se počnu praviti izmjene u sistemskim registrima,
- Pristup sistemskim registrima se može ograničiti tako što se kreira upit za kontrolu korisničkog naloga (UAC) za bilo kakve pokušaje izmjene. Ovo će dodati dodatni nivo bezbednosti, jer će korisnik biti obaviješten kada neko pokuša da izvrši promjene u registru vašeg sistema. Ovo je moguće aktivirati odlaskom na “Korisnički nalozi” > “Promjeni podešavanja kontrole korisničkog naloga” i u skladu sa potrebom podesiti UAC nivo,
- Redovno nadgledati sistem za bilo kakve neobične aktivnosti ili neovlaštene modifikacije. Koristite alate kao što su Task Manager, Event Viewer i Process Explorer za identifikaciju sumnjivih procesa i događaja. Pored toga, razmisliti o korišćenju najnaprednijih alata za nadgledanje renomiranih proizvođača za zaštitu krajnjih tačaka,
- Primjenjivati listu odobrenih aplikacija (eng. application whitelisting) kao efikasnu bezbjednosnu mjeru koja dozvoljava samo odobrenim aplikacijama da se pokreću na sistemu dok blokira sve ostale. Ovo može pomoći u sprečavanju izvršavanja zlonamjernih skripti i programa, uključujući one koje koristi CoralRaider. U tu svrhu koristiti renomirano riješenje za kontrolu aplikacija,
- Kroz edukaciju korisnika osigurati da su korisnici u organizaciji svjesni potencijalnih rizika koje predstavljaju prilozi elektronske pošte, preuzimanja iz nepouzdanih izvora i phishing napadi. Podstaći korisnike da praktikuju navike bezbjednog pregledanja i slede najbolje bezbjednosne prakse kao što su korišćenje jakih lozinki, omogućavanje autentifikaciju u dva koraka i izbjegavanje klikanja na sumnjive veze ili otvaranje nepoznatih datoteka,
- Redovno praviti rezervne kopije podataka uz korištenje pouzdanog riješenja za pravljenje rezervnih kopija kritičnih podataka. U slučaju napada ili kompromitovanja sistema, skorašnja rezervna kopija može pomoći da se minimizira potencijalna šteta i omogući brzi oporavak,
- Implementirati mrežnu bezbjednost primjenom zaštitnih zidova, sistema za otkrivanje upada (eng. intrusion detection systems – IDS), antivirusnog softvera na nivou mrežnog prolaza (eng. gateway level) i drugih bezbjednosnih mjera po potrebi. Redovno nadgledati mrežu za bilo kakve neobične aktivnosti ili pokušaje neovlaštenog pristupa.