CoralRaider kampány
A Cisco Talos egy új, legalább 2024 februárja óta tartó kampányt azonosított, amelyet egy olyan fenyegető szereplő működtet, aki három híres infostopper kártevőt terjeszt, köztük a Cryptbotot, a LummaC2-t és a Rhadamanthys-t. A Talos egy új PowerShell parancssori argumentumot is felfedezett, amely az LNK fájlba ágyazva megkerüli a vírusirtó termékeket, és letölti a végső hasznos terhet az áldozatok gépére. A kampány a Content Delivery Network (CDN) cache tartományt használja letöltési kiszolgálóként, ahol a rosszindulatú HTA-fájlt és a hasznos terhet tárolja. A Talos értékelése szerint mérsékelt bizonyossággal feltételezhető, hogy a CoralRaider nevű fenyegető szereplő működteti a kampányt. A CoralRaider Rotbot-kampányának taktikáiban, technikáiban és eljárásaiban (TTP) számos átfedést figyeltünk meg, beleértve a Windows Shortcut fájl kezdeti támadási vektorát, a köztes PowerShell dekódoló és hasznos teher letöltési szkripteket, az áldozat gépének felhasználói hozzáférés-szabályozásának (UAC) megkerülésére használt FoDHelper technikát.
A kampány a telemetriai adatai és OSINT-információink alapján több országban is érint áldozatokat, többek között az Egyesült Államokban, Nigériában, Pakisztánban, Ecuadorban, Németországban, Egyiptomban, az Egyesült Királyságban, Lengyelországban, a Fülöp-szigeteken, Norvégiában, Japánban, Szíriában és Törökországban. A telemetria azt is feltárta, hogy az érintett felhasználók egy része Japán számítógépes szolgáltató call center szervezetei és szíriai polgári védelmi szolgáltató szervezetek közül került ki. Az érintett felhasználók filmfájloknak álcázott fájlokat töltöttek le a böngészőn keresztül, ami arra utal, hogy a különböző üzleti vertikumokban és földrajzi területeken széles körben elterjedt támadás érte a felhasználókat.