CDN快取遭到濫用！駭客組織CoralRaider將其用來派送竊資軟體，意圖躲避資安偵測

思科旗下威脅情報團隊Talos揭露從今年2月出現的攻擊行動，對方意圖散布竊資軟體Cryptbot、LummaC2、Rhadamanthys，至少有美國、奈及利亞、巴基斯坦等13個國家出現受害者。

而對於受害者的身分，研究人員提及，有日本電腦服務的客服中心、敘利亞的市民防衛服務組織受害。

攻擊者起初向受害者傳送惡意的Windows捷徑檔（LNK），此檔案內含PowerShell命令，從特定的內容傳遞網路（CDN）服務下載HTML應用程式（HTA）並執行，此HTA檔案經過重度混淆處理。

由於對方使用CDN快取伺服器存放惡意程式，網路防禦系統可能無法對其進行偵測而放行。

一旦上述HTA檔案執行，就會先後執行其中的JavaScript、PowerShell指令碼，進行解密，從而在系統暫存資料夾寫入批次檔，這麼做的目的是為了迴避Microsoft Defender的偵測。

接著，攻擊者利用FoDHelper.exe進行寄生攻擊（LOLBin），從而竄改機碼繞過使用者存取控制（UAC）。最終對方利用PowerShell指令碼下載竊資軟體。

而對於攻擊者的身分，研究人員認為是CoralRaider，這個駭客組織來自越南，先前曾傳出鎖定亞洲為主要攻擊目標，手法一樣是利用捷徑檔下載HTA檔，後續再下載酬載進行攻擊。