Vietnami häkkerite löök: CoralRaider sihib Aasia kontosid

Avaldatud: Aprill 6, 2024

Marylandis asuv küberturbetehnoloogia ja infoturbe ettevõte Cisco Talos avastas hiljuti uue küberohu nimega "CoralRaider", mis arvatavasti pärineb Vietnamist ja mille põhjuseks on rahaline kasu.

Umbes aastast 2023 on CoralRaider sihinud inimesi erinevates Aasia ja Kagu-Aasia riikides, sealhulgas Indias, Bangladeshis, Hiinas, Vietnamis, Lõuna-Koreas, Indoneesias ja teistes riikides.

Nende skeemide elluviimiseks kasutab CoralRaider keerukaid tööriistu, nagu RotBot, QuasarRATi muudetud versioon ja XClient stealer. Lisaks kasutavad nad tehnikat, mida nimetatakse "surnud tilgaks", kasutades oma pahatahtlike failide varjamiseks seaduslikke teenuseid ning tuvastamisest kõrvalehoidmiseks ebatavalisi programme, nagu Forfiles.exe ja FoDHelper.exe.

Rünnak toimub lihtsa protsessi järgi:

1. Kasutaja avab pahatahtliku Windowsi otseteefaili
2. Fail laadib alla ja käivitab ründaja juhitud allalaadimisserverist HTML-rakenduse faili (HTA).
3. HTA aktiveerib manustatud Visual Basicu skripti, mis käivitab mälus PowerShelli skripti
4. PowerShelli skript käivitab veel 3, mis eiravad kasutaja juurdepääsu juhtelemente, teostavad anti-VM ja anti-analüüsi kontrolle ning keelavad Windowsi teatised
5. Lõpuks laadib see alla ja käivitab RotBoti, mis laadib XClient stealeri.

Rühm kasutab XClienti, et varastada mitut tüüpi isikuandmeid, sealhulgas sotsiaalmeedia kontosid (sealhulgas äri- ja reklaamikontod), volikirjad ja finantsandmed. Neid andmeid kasutatakse seejärel rahalise kasu saamiseks, sealhulgas teistele halbadele osalejatele müümiseks.

„Leidsime mõned vietnamikeelsed Telegrami grupid nimedega „Kiém tien tử Facebook”, „Mua Bán Scan MINI” ja „Mua Bán Scan Meta”. "Ütles Cisco Talos. "Nende rühmade jälgimine näitas, et need olid maa-alused turud, kus muuhulgas kaubeldi ohvrite andmetega."

CoralRaideri avastamine toob esile küberohtude pidevalt areneva olemuse, eriti seoses finantsküberkuritegevusega. Tundliku teabe varastamisele keskendudes kujutab see rühm märkimisväärset ohtu nii üksikisikutele kui ka organisatsioonidele.

• SEO-põhise sisu ja PR-levi. Võimenduge juba täna.
• PlatoData.Network Vertikaalne generatiivne Ai. Jõustage ennast. Juurdepääs siia.
• PlatoAiStream. Web3 luure. Täiustatud teadmised. Juurdepääs siia.
• PlatoESG. Süsinik, CleanTech, Energia, Keskkond päikeseenergia, Jäätmekäitluse. Juurdepääs siia.
• PlatoTervis. Biotehnoloogia ja kliiniliste uuringute luureandmed. Juurdepääs siia.
• Allikas: https://www.safetydetectives.com/news/vietnamese-hackers-strike-coralraider-targets-asian-accounts/