网络安全领域的威胁不断演化，尤其是在信息窃取病毒的传播上。近期，Cisco Talos的研究发现，名为CoralRaider的恶性黑客组织正在通过一种新兴的在线活动进行扩张，自2024年2月以来，该组织开始利用三种知名的信息窃取软件进行攻击，分别为Cryptbot、LummaC2和Rhadamanthys。此系列攻击显示出先进的技术和高度的隐蔽性，令人倍感不安。

值得注意的是，CoralRaider选择利用Windows快捷方式文件作为其初始攻击载体，结合了新的PowerShell命令行参数，目的是为了绕过传统的杀毒软件防护并成功下载最终的恶意负载至受害者的设备。这一系列攻击采取了复杂的多阶段流程，令安全专家们警惕。

攻击者使用了内容分发网络（CDN）的缓存域作为下载服务器，从而隐藏恶意文件和负载，避开了网络防御。通过观察该组织的活动，Cisco Talos的分析显示出攻击者与CoralRaider Rotbot活动的策略、技术与程序（TTPs）有诸多重合，这一点引起了极大的关注。

在攻击模式上，CoralRaider通过实施多国范围内的网络攻击，袭击了美国、尼日利亚、巴基斯坦、厄瓜多尔、德国、埃及、英国、波兰、菲律宾、挪威、日本、叙利亚和土耳其等地的用户。根据我们的遥测数据，该组织的目标用户群中还包括日本的计算机服务公司和叙利亚的民防服务组织。他们通过浏览器下载伪装成电影文件的实际恶意文件，表明该攻击可能具有更广泛的影响力，潜在攻击各类商业垂直行业。

CoralRaider的活动不仅显示出精密的技术，还使用了CDN缓存以存储恶意文件真正的来源，Miniédération exploiting this as a method to both deliver and conceal malicious payloads has raised alarm bells among security professionals.

在其攻击链中，CoralRaider应用了复杂的多级感染链，通过恶意的Windows快捷方式文件开始感染。受害者打开从ZIP文件下载的快捷方式后，攻击者就通过嵌入的PowerShell命令下载了恶意的HTML应用文件，进一步渗透到受害者的计算机中。整个攻击流程利用了一系列的PowerShell脚本来加密和加载后续步骤的恶意代码，这些脚本使用如FoDHelper等技术绕过用户访问控制。

CoralRaider组织精心设计的感染链显示出高度的组织性和策略性。每一步都经过深思熟虑，在下载、执行和数据窃取的过程中，最大限度地减少了被检出的风险。令人担忧的是，CoralRaider选择了三款恶意软件作为其主要的攻击负载，不仅有助于信息窃取，还强调了其在网络犯罪经济体中越来越重要的角色。

分析表明，CryptBot自2019年首次被发现以来，便一直活跃于黑市中，其主要目标是盗取受感染计算机中的敏感信息，包括浏览器凭证、加密货币钱包、浏览器 Cookies 和信用卡信息。该软件的不断变化与迭代显示出引入新的技术手段来躲避反病毒分析的趋势。随着不断演化的攻击技术，CoralRaider组织的威胁也在不断升级。

其次，LummaC2是另一个备受关注的信息窃取者，该恶意软件自2022年首次出现在暗网商店上以来，便被多方黑客广泛使用。其最新变种通过新的复杂算法进行了修改，使其信息窃取能力显著增强，尤其是通过加密的命令与控制（C2）通信，更加隐蔽和灵活。

最后，Rhadamanthys，自2022年9月首次出现以来，迅速演变并改进其攻击策略。其作者不断发布新的版本，使其更加智能化，尤其是在数据窃取和贩卖方面。CoralRaider组织的执行以及其使用的所有恶意软件表明网络犯罪正朝着更加复杂和专业化的方向发展。

在防护措施方面，网络安全行业呼吁各个企业提高警惕。使用高级安全防护方案如Cisco Secure Endpoint及相关的技术，能够有效阻挡这些恶意软件的传播。此外，加强对邮件的监控、提供用户教育和多因素认证，以及实施全面的网络安全监察，能够增加对这些攻击的抵御能力。

随着网络安全环境的不断变化，了解新兴的威胁以及采取相应措施，将是保护企业与个人信息不受侵犯的关键。无论是对企业机器的保护，还是针对变种信息窃取工具的分析，我们都必须保持警觉，才能在这一无形的战争中立于不败之地。

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课