Βιετναμέζοι χάκερς απεργούν: Το CoralRaider στοχεύει ασιατικούς λογαριασμούς

Δημοσιεύθηκε στις: Απρίλιος 6, 2024

Η Cisco Talos, μια εταιρεία τεχνολογίας και ασφάλειας πληροφοριών στον κυβερνοχώρο με έδρα το Μέριλαντ, αποκάλυψε πρόσφατα μια νέα απειλή στον κυβερνοχώρο με την ονομασία «CoralRaider», που πιστεύεται ότι προέρχεται από το Βιετνάμ και οδηγείται από οικονομικό κέρδος.

Από το 2023 περίπου, το CoralRaider στοχεύει άτομα σε διάφορες χώρες της Ασίας και της Νοτιοανατολικής Ασίας, όπως η Ινδία, το Μπαγκλαντές, η Κίνα, το Βιετνάμ, η Νότια Κορέα, η Ινδονησία και άλλες.

Για να πραγματοποιήσει τα σχέδιά του, το CoralRaider χρησιμοποιεί εξελιγμένα εργαλεία όπως το RotBot, μια τροποποιημένη έκδοση του QuasarRAT και το XClient stealer. Επιπλέον, χρησιμοποιούν μια τεχνική που ονομάζεται "dead drop", χρησιμοποιώντας νόμιμες υπηρεσίες για να κρύψουν τα κακόβουλα αρχεία τους, μαζί με ασυνήθιστα προγράμματα όπως το Forfiles.exe και το FoDHelper.exe για να αποφύγουν τον εντοπισμό.

Η επίθεση ακολουθεί μια απλή διαδικασία:

1. Ο χρήστης ανοίγει ένα κακόβουλο αρχείο συντόμευσης των Windows
2. Το αρχείο κατεβάζει και εκτελεί ένα αρχείο εφαρμογής HTML (HTA) από έναν διακομιστή λήψης που ελέγχεται από εισβολέα
3. Το HTA ενεργοποιεί μια ενσωματωμένη δέσμη ενεργειών της Visual Basic που εκτελεί μια δέσμη ενεργειών PowerShell στη μνήμη
4. Το σενάριο PowerShell αναλαμβάνει 3 άλλα που παρακάμπτουν τα στοιχεία ελέγχου πρόσβασης χρήστη, εκτελούν ελέγχους anti-VM και αντι-ανάλυσης και απενεργοποιούν τις ειδοποιήσεις των Windows
5. Τέλος, κατεβάζει και εκτελεί το RotBot, το οποίο φορτώνει το XClient stealer.

Η ομάδα χρησιμοποιεί το XClient για να κλέψει πολλούς τύπους προσωπικών δεδομένων, συμπεριλαμβανομένων λογαριασμών μέσων κοινωνικής δικτύωσης (συμπεριλαμβανομένων αυτών που χρησιμοποιούνται για επιχειρήσεις και διαφημίσεις), διαπιστευτήρια και οικονομικά δεδομένα. Αυτά τα δεδομένα χρησιμοποιούνται στη συνέχεια για οικονομικό όφελος, συμπεριλαμβανομένης της πώλησης σε άλλους κακούς παράγοντες.

«Βρήκαμε μερικές ομάδες Telegram στα βιετναμέζικα με το όνομα «Kiém tien tử Facebook», «Mua Bán Scan MINI» και «Mua Bán Scan Meta». », είπε ο Cisco Talos. «Η παρακολούθηση αυτών των ομάδων αποκάλυψε ότι ήταν υπόγειες αγορές όπου, μεταξύ άλλων δραστηριοτήτων, διακινούνταν και δεδομένα θυμάτων».

Η ανακάλυψη του CoralRaider υπογραμμίζει τη συνεχώς εξελισσόμενη φύση των απειλών στον κυβερνοχώρο, ιδιαίτερα όσον αφορά το οικονομικό έγκλημα στον κυβερνοχώρο. Με έμφαση στην κλοπή ευαίσθητων πληροφοριών, αυτή η ομάδα ενέχει σημαντικό κίνδυνο τόσο για άτομα όσο και για οργανισμούς.

• SEO Powered Content & PR Distribution. Ενισχύστε σήμερα.
• PlatoData.Network Vertical Generative Ai. Ενδυναμώστε τον εαυτό σας. Πρόσβαση εδώ.
• PlatoAiStream. Web3 Intelligence. Ενισχύθηκε η γνώση. Πρόσβαση εδώ.
• PlatoESG. Ανθρακας, Cleantech, Ενέργεια, Περιβάλλον, Ηλιακός, Διαχείριση των αποβλήτων. Πρόσβαση εδώ.
• PlatoHealth. Ευφυΐα βιοτεχνολογίας και κλινικών δοκιμών. Πρόσβαση εδώ.
• πηγή: https://www.safetydetectives.com/news/vietnamese-hackers-strike-coralraider-targets-asian-accounts/