在最近的調查結果中，Cisco Talos 發現了一個新的駭客攻擊組織，被稱為“CoralRaider”，我們相信該駭客組織來自越南，且目標是竊取金融相關的資料。 CoralRaider 自 2023 年開始行動，主要針對亞洲和東南亞國家的受害者，專注於竊取憑證、財務資料和社交媒體帳戶，包括商業和廣告資料。值得注意的是，CoralRaider 使用了dead-drop 技術，利用合法服務來託管 C2 設定檔和不常見的 living-off-the-land 程式 (LoLBins)，如 Windows Forfiles.exe 和 FoDHelper.exe。

Talos 於 2024 年 2 月發現，CoralRaider 發起了一場新的活動，傳播著名的資訊竊取惡意軟體，包括 Cryptbot、LummaC2 和 Rhadamanthys。駭客攻擊組織採用創新策略，將 PowerShell 命令列參數嵌入 LNK 檔案中，以逃避防毒偵測並方便將惡意軟體下載到受害者主機上。 Talos 有一定把握地認為 CoralRaider 是此波攻擊的幕後組織，並指出先前的 Rotbot 活動中觀察到的策略、技術和程序 (TTP) 有重疊。這些包括利用 Windows 捷徑檔案作為初始攻擊媒介、中間 PowerShell 解密器和 FoDHelper 技術來繞過受害者機器上的使用者存取控制 (UAC)。

這項研究揭示了 CoralRaider 不斷演變的策略，並強調了持續威脅情報對於有效打擊新興網路威脅的重要性。了解此類駭客攻擊組織的作案手法對於加強防禦和降低當今網路安全情勢下的風險至關重要。

Cisco Talos 發現了一種名為「DragonRank」的新駭客攻擊組織。這個攻擊組織主要針對亞洲國家和歐洲的少數國家，利用 PlugX 和 BadIIS 等進階惡意軟體進行搜尋引擎優化 (SEO) 排名的操縱。

DragonRank 利用 Web 應用服務中的漏洞來部署 Web Shell，然後用Web Shell於收集系統資訊並放置惡意程式。他們的惡意軟體庫包括惡名昭彰的 PlugX 惡意軟體，它採用熟悉的 DLL 側載技術並利用 Windows 結構化異常處理 (SEH) 機制來確保載入的順暢和不被防毒軟體給偵測。此外，他們還在受感染的 IIS 伺服器上部署 BadIIS 惡意軟體，和運行各種帳戶密碼與憑證的竊取軟體。

我們的研究證實，此次攻擊活動中有超過 35 台 IIS 伺服器遭到入侵，感染範圍遍佈泰國、印度、韓國、荷蘭和中國等不同地理區域。此外，Talos 還發現了 DragonRank 的商業網站、商業模式和即時通訊帳戶，因此我們有中到高的信心評估該組織是由一名講簡體中文的攻擊者運作的。

本次會議我們將深入探討 DragonRank 所採用的策略、技術和程序 (TTP)，為其營運模式和我們的見解。我們還將討論這種威脅的影響，並提供如何加強對此類複雜網路攻擊的防禦建議。