思科

思科旗下威胁情报团队Talos揭露从今年2月出现的攻击行动，对方意图散布窃资软体Cryptbot、LummaC2、Rhadamanthys，至少有美国、奈及利亚、巴基斯坦等13个国家出现受害者。

而对于受害者的身分，研究人员提及，有日本电脑服务的客服中心、叙利亚的市民防卫服务组织受害。

攻击者起初向受害者传送恶意的Windows捷径档（LNK），此档案内含PowerShell命令，从特定的内容传递网路（CDN）服务下载HTML应用程式（HTA）并执行，此HTA档案经过重度混淆处理。

由于对方使用CDN快取伺服器存放恶意程式，网路防御系统可能无法对其进行侦测而放行。

一旦上述HTA档案执行，就会先后执行其中的JavaScript、PowerShell指令码，进行解密，从而在系统暂存资料夹写入批次档，这么做的目的是为了迴避Microsoft Defender的侦测。

接着，攻击者利用FoDHelper.exe进行寄生攻击（LOLBin），从而窜改机码绕过使用者存取控制（UAC）。最终对方利用PowerShell指令码下载窃资软体。

而对于攻击者的身分，研究人员认为是CoralRaider，这个骇客组织来自越南，先前曾传出锁定亚洲为主要攻击目标，手法一样是利用捷径档下载HTA档，后续再下载酬载进行攻击。