Vietnamesischer Hackerangriff: CoralRaider nimmt asiatische Konten ins Visier

Veröffentlicht am: 6. April 2024

Cisco Talos, ein in Maryland ansässiges Unternehmen für Cybersicherheitstechnologie und Informationssicherheit, hat kürzlich eine neue Cyberbedrohung namens „CoralRaider“ aufgedeckt, die vermutlich aus Vietnam stammt und auf finanziellem Gewinn basiert.

Seit etwa 2023 zielt CoralRaider auf Einzelpersonen in verschiedenen asiatischen und südostasiatischen Ländern ab, darunter Indien, Bangladesch, China, Vietnam, Südkorea, Indonesien und andere.

Um seine Pläne auszuführen, nutzt CoralRaider hochentwickelte Tools wie RotBot, eine modifizierte Version von QuasarRAT und XClient Stealer. Darüber hinaus nutzen sie eine Technik namens „Dead Drop“, bei der legitime Dienste zum Verstecken ihrer schädlichen Dateien sowie ungewöhnliche Programme wie Forfiles.exe und FoDHelper.exe zum Einsatz kommen, um der Entdeckung zu entgehen.

Der Angriff folgt einem einfachen Prozess:

1. Der Benutzer öffnet eine schädliche Windows-Verknüpfungsdatei
2. Die Datei lädt eine HTML-Anwendungsdatei (HTA) von einem vom Angreifer kontrollierten Download-Server herunter und führt sie aus
3. Der HTA aktiviert ein eingebettetes Visual Basic-Skript, das ein PowerShell-Skript im Speicher ausführt
4. Das PowerShell-Skript initiiert drei weitere, die Benutzerzugriffskontrollen umgehen, Anti-VM- und Anti-Analyseprüfungen durchführen und Windows-Benachrichtigungen deaktivieren
5. Schließlich wird RotBot heruntergeladen und ausgeführt, wodurch der XClient-Stealer geladen wird.

Die Gruppe verwendet XClient, um viele Arten persönlicher Daten zu stehlen, darunter Social-Media-Konten (einschließlich solcher, die für Unternehmen und Werbung verwendet werden), Anmeldeinformationen und Finanzdaten. Diese Daten werden dann für finanzielle Zwecke verwendet, einschließlich des Verkaufs an andere böswillige Akteure.

„Wir haben einige Telegram-Gruppen auf Vietnamesisch mit den Namen ‚Kiém tien tử Facebook‘, ‚Mua Bán Scan MINI‘ und ‚Mua Bán Scan Meta‘ gefunden.“ “ sagte Cisco Talos. „Die Überwachung dieser Gruppen ergab, dass es sich um Untergrundmärkte handelte, auf denen unter anderem Opferdaten gehandelt wurden.“

Die Entdeckung von CoralRaider verdeutlicht die sich ständig weiterentwickelnde Natur von Cyber-Bedrohungen, insbesondere im Zusammenhang mit finanzieller Cyberkriminalität. Diese Gruppe konzentriert sich auf den Diebstahl vertraulicher Informationen und stellt ein erhebliches Risiko für Einzelpersonen und Organisationen dar.

• SEO-gestützte Content- und PR-Distribution. Holen Sie sich noch heute Verstärkung.
• PlatoData.Network Vertikale generative KI. Motiviere dich selbst. Hier zugreifen.
• PlatoAiStream. Web3-Intelligenz. Wissen verstärkt. Hier zugreifen.
• PlatoESG. Kohlenstoff, CleanTech, Energie, Umwelt, Solar, Abfallwirtschaft. Hier zugreifen.
• PlatoHealth. Informationen zu Biotechnologie und klinischen Studien. Hier zugreifen.
• Quelle: https://www.safetydetectives.com/news/vietnamese-hackers-strike-coralraider-targets-asian-accounts/