Egy Vietnamhoz köthető új kiberbűnözési csoport magánszemélyeket és szervezeteket vett célba Ázsiában, és megpróbálta ellopni a közösségi média fiókjait és felhasználói adatait.
A CoralRaider, amely először 2023 végén jelent meg, nagymértékben támaszkodik a social engineeringre és a legitim szolgáltatásokra az adatok kiszűréséhez, és egyedi eszközöket fejleszt a rosszindulatú programok áldozatrendszerekre való betöltéséhez. Ennek ellenére a csoport követett el néhány újonc hibát is, például véletlenül megfertőzte saját rendszereit, ami felfedte tevékenységüket – állapították meg a Cisco Talos fenyegetés-felderítő csoportjának fenyegetéskutatói a CoralRaider új elemzésében.
Miközben Vietnam egyre aktívabbá vált a kiberműveletekben, úgy tűnik, hogy ez a csoport nem működik együtt a kormánnyal – mondja Chetan Raghuprasad, a Cisco Talos csoport biztonsági kutatási műszaki vezetője.
"A fő prioritás az anyagi haszon, és a színész megpróbálja eltéríteni az áldozat közösségi média üzletét és hirdetési fiókjait" - mondja. „A további támadásoknak való kitettség is lehetséges, beleértve más rosszindulatú programok szállítását is. Kutatásunkban nem találtak példát más hasznos teher szállítására.”
A vietnami fenyegetés szereplői gyakran a közösségi médiára összpontosítanak. A a hírhedt OceanLotus csoport – más néven APT32 – más kormányokat, másként gondolkodókat és újságírókat támadott meg délkelet-ázsiai országokban, így Vietnamban is. Egy katonai kötődésű csoport, a Force 47 – kapcsolatban áll a vietnami hadsereg hivatalos televíziójával – rendszeresen megpróbálja befolyásolni a közösségi média csoportjait.
Úgy tűnik azonban, hogy a CoralRaider inkább a profitcélokhoz kötődik, mint a nacionalista célokhoz.
„Jelenleg nincs bizonyítékunk vagy információnk a CoralRaider vietnami kormánnyal való együttműködésére utaló jelekről” – mondja Raghuprasad.
Többlépcsős fertőzési lánc
A CoralRaider kampányok általában egy Windows parancsikon (.LNK) fájllal indulnak, gyakran .PDF kiterjesztéssel próbálják rávenni az áldozatot a fájlok megnyitására. a Cisco elemzése szerint. Ezt követően a támadók támadásuk több szakaszán haladnak keresztül:
-
A Windows parancsikonja letölt és végrehajt egy HTML-alkalmazás (HTA) fájlt egy támadó által vezérelt kiszolgálóról
-
A HTA fájl egy beágyazott Visual Basic szkriptet hajt végre
-
A VB-szkript végrehajt egy PowerShell-szkriptet, amely három további PowerShell-szkriptet futtat, beleértve egy sor elemzés-ellenőrzést annak észlelésére, hogy az eszköz virtuális gépen fut-e, a rendszer felhasználói hozzáférés-vezérlőinek megkerülését, valamint az értesítéseket letiltó kódot. a felhasználónak
-
A végső szkript futtatja a RotBot-ot, egy betöltőt, amely észlelési kijátszást hajt végre, felderítést végez a rendszeren, és letölt egy konfigurációs fájlt
-
A RotBot ezután általában letölti az XClient programot, amely különféle felhasználói adatokat gyűjt a rendszerből, beleértve a közösségimédia-fiók hitelesítő adatait.
A hitelesítő adatokon kívül az XClient böngészőadatokat, hitelkártyaszámla-információkat és egyéb pénzügyi adatokat is ellop. Végül pedig az XClient képernyőképet készít az áldozat asztaláról, és feltölti azt.
Eközben a kutatók szerint vannak arra utaló jelek, hogy a támadók Vietnamban is célba vettek egyéneket.
"Az [XClient] lopás funkció leképezi az ellopott áldozat adatait kemény kódolt vietnami szavakra, és a kiszűrés előtt egy szöveges fájlba írja az áldozat gépének ideiglenes mappájába" - áll az elemzésben. „Az egyik megfigyelt funkció az áldozat Facebook Ads-fiókjának ellopására szolgál, amely vietnami szavakkal van kódolva a fiókjogokra, a küszöbértékre, az eltöltött időre, az időzónára és a létrehozás dátumára.”
A CoralRaider csoport egy automatizált botot használt a Telegram szolgáltatáson parancsnoki és vezérlő csatornaként, valamint adatok kiszűrésére az áldozatok rendszereiből. Úgy tűnik azonban, hogy a kiberbűnözői csoport megfertőzte az egyik saját gépét, mert a Cisco kutatói képernyőképeket fedeztek fel a csatornán közzétett információkról.
„A színész asztaláról készült képeket a Telegram roboton elemezve találtunk néhány vietnami Telegram-csoportot, amelyek neve „Kiém tien tử Facebook”, „Mua Bán Scan MINI” és „Mua Bán Scan Meta” – mondta Cisco Talos az elemzésben. . "E csoportok nyomon követése során kiderült, hogy földalatti piacokról van szó, ahol többek között áldozatokkal is kereskedtek."
A CoralRaider megjelenése a kiberfenyegetettség színterére nem meglepő: Vietnam jelenleg a fióklopásból származó kártevők által okozott fenyegetések számának növekedésével néz szembe – mondja Sakshi Grover, az IDC ázsiai/csendes-óceáni térségben működő kiberbiztonsági szolgáltatási csoportjának kutatási vezetője.
„Bár történelmileg kevésbé kötődik a kiberbűnözéshez, mint más ázsiai országokhoz, Vietnamban a digitális technológiák gyors átvétele érzékenyebbé tette a számítógépes fenyegetésekre” – mondja. „A fejlett tartós fenyegetések (APT) egyre gyakrabban célozzák meg a kormányzati szerveket, a kritikus infrastruktúrát és a vállalkozásokat, és olyan kifinomult technikákat alkalmaznak, mint az egyéni rosszindulatú programok és a közösségi tervezés a rendszerekbe való beszivárgás és az érzékeny adatok ellopása érdekében.
Mivel a gazdasági feltételek Vietnamban eltérőek – egyes területeken korlátozottak a munkalehetőségek, ami alacsony béreket eredményez a magasan képzett munkakörökért –, az egyéneket arra lehet ösztönözni, hogy pénzt keressenek kiberbűnözésben, mondja Grover.
- SEO által támogatott tartalom és PR terjesztés. Erősödjön még ma.
- PlatoData.Network Vertical Generative Ai. Erősítse meg magát. Hozzáférés itt.
- PlatoAiStream. Web3 Intelligence. Felerősített tudás. Hozzáférés itt.
- PlatoESG. Carbon, CleanTech, Energia, Környezet, Nap, Hulladékgazdálkodás. Hozzáférés itt.
- PlatoHealth. Biotechnológiai és klinikai vizsgálatok intelligencia. Hozzáférés itt.
- Forrás: https://www.darkreading.com/vulnerabilities-threats/vietnamese-cybercrime-group-coralraider-nets-financial-data
- :van
- :is
- :nem
- :ahol
- 10
- 11
- 13
- 2023
- 7
- 8
- 9
- a
- hozzáférés
- Fiók
- Fiókok
- át
- aktív
- tevékenységek
- szereplők
- mellett
- Örökbefogadás
- hirdetések
- fejlett
- Is
- között
- an
- elemzés
- elemzése
- és a
- bármilyen
- megjelenik
- megjelent
- Megjelenik
- Alkalmazás
- VANNAK
- területek
- Hadsereg
- érkezés
- AS
- Ázsia
- ázsiai
- társult
- At
- támadás
- Támadások
- kísérlet
- megkísérlése
- Kísérletek
- Automatizált
- alapvető
- BE
- mert
- válik
- előtt
- hogy
- Bot
- böngésző
- üzleti
- vállalkozások
- kitérő
- Kampány
- TUD
- kártya
- lánc
- csatorna
- Ellenőrzések
- Kör
- Cisco
- kód
- összegyűjti
- képest
- Körülmények
- magatartások
- Configuration
- összefüggő
- ellenőrzések
- országok
- készítette
- Hitelesítő adatok
- hitel
- hitelkártya
- kritikai
- Kritikus infrastruktúra
- Jelenleg
- szokás
- cyber
- a számítógépes bűnözés
- KIBERBŰNÖZŐ
- Kiberbiztonság
- dátum
- találka
- szállított
- átadó
- asztali
- kimutatására
- Érzékelés
- fejleszt
- digitális
- digitális technológiák
- felfedezett
- do
- nem
- letöltések
- Gazdasági
- Gazdasági feltételek
- beágyazott
- vegyenek
- Mérnöki
- Szervezetek
- adócsalás
- bizonyíték
- példa
- példák
- végrehajtja
- kiszűrés
- tapasztal
- kitett
- Exponálás
- kiterjesztés
- Facebook hirdetések
- néző
- kevés
- filé
- Fájlok
- pénzügyi
- pénzügyi adat
- vezetéknév
- Összpontosít
- következő
- A
- Kényszer
- talált
- gyakran
- ból ből
- funkció
- Nyereség
- Kormány
- Kormányzati szervezetek
- A kormányok
- Csoport
- Csoportok
- Grover
- kellett
- Legyen
- he
- súlyosan
- nagyon
- eltérít
- történelmileg
- azonban
- HTML
- HTTPS
- ICON
- IDC
- if
- képek
- in
- véletlenül
- ösztönözve
- Beleértve
- Növelje
- egyre inkább
- jelzések
- egyének
- fertőzött
- befolyás
- információ
- Infrastruktúra
- ING
- Intelligencia
- bele
- IT
- Munka
- újságírók
- jpeg
- ismert
- végül
- Késő
- vezető
- jogos
- kevesebb
- mint
- Korlátozott
- összekapcsolt
- rakodó
- betöltés
- Elő/Utó
- gép
- gép
- készült
- Fő
- csinál
- pénzt keres
- malware
- menedzser
- Térképek
- piacok
- Média
- meta
- hibákat
- pillanat
- pénz
- ellenőrzés
- több
- mozog
- Nevezett
- Nemzetek
- Nets
- Új
- újonc
- értesítések
- of
- hivatalos
- gyakran
- on
- ONE
- -ra
- nyitás
- Művelet
- Lehetőségek
- or
- szervezetek
- Más
- mi
- saját
- Előadja
- Plató
- Platón adatintelligencia
- PlatoData
- lehetséges
- kiküldött
- potenciális
- PowerShell
- prioritás
- Nyereség
- gyors
- Inkább
- vidék
- támaszkodik
- kutatás
- kutatók
- kapott
- Reuters
- Revealed
- jogok
- szerepek
- futás
- fut
- s
- azt mondják
- azt mondja,
- beolvasás
- színhely
- screenshotok
- forgatókönyv
- szkriptek
- biztonság
- látott
- érzékeny
- Series of
- szolgáltatás
- Szolgáltatások
- ő
- Jelek
- szakképzett
- Közösség
- Szociális tervezés
- Közösségi média
- néhány
- kifinomult
- délkeleti
- költött
- állapota
- kezdődik
- meghatározott
- állomás
- lop
- lop
- lopott
- ilyen
- meglepő
- fogékony
- rendszer
- Systems
- tart
- Talos
- célzott
- célzás
- Műszaki
- technikák
- Technologies
- Telegram
- televízió
- ideiglenes
- szöveg
- mint
- hogy
- A
- az információ
- azok
- Őket
- akkor
- Ott.
- Ezek
- ők
- ezt
- fenyegetés
- fenyegetés szereplői
- fenyegetések
- három
- küszöb
- Keresztül
- idő
- nak nek
- szerszám
- szerszámok
- forgalmazott
- jellemzően
- földalatti
- használt
- használó
- segítségével
- kihasználva
- fajta
- változik
- Áldozat
- áldozatok
- Vietnám
- vietnami
- Tényleges
- virtuális gép
- vizuális
- munkabér
- volt
- we
- JÓL
- voltak
- ami
- míg
- ablakok
- val vel
- szavak
- dolgozó
- még
- zephyrnet
- zóna