Vietnámi hackercsapás: A CoralRaider ázsiai fiókokat céloz meg

Kiadja: April 6, 2024

A Cisco Talos, a marylandi székhelyű kiberbiztonsági technológiai és információbiztonsági vállalat nemrégiben fedezte fel a „CoralRaider” névre keresztelt új kiberfenyegetést, amely vélhetően Vietnamból származik, és pénzügyi haszon vezérelte.

Körülbelül 2023 óta a CoralRaider különböző ázsiai és délkelet-ázsiai országokat céloz meg, köztük Indiát, Bangladest, Kínát, Vietnamot, Dél-Koreát, Indonéziát és más országokat.

A tervek végrehajtásához a CoralRaider olyan kifinomult eszközöket alkalmaz, mint a RotBot, a QuasarRAT módosított változata és az XClient stealer. Ezenkívül a „dead drop” nevű technikát alkalmazzák, legitim szolgáltatásokat használva rosszindulatú fájljaik elrejtésére, valamint olyan szokatlan programokat, mint a Forfiles.exe és a FoDHelper.exe az észlelés elkerülésére.

A támadás egy egyszerű folyamatot követ:

1. A felhasználó megnyit egy rosszindulatú Windows parancsikonfájlt
2. A fájl letölt és végrehajt egy HTML-alkalmazásfájlt (HTA) egy támadó által vezérelt letöltőkiszolgálóról
3. A HTA aktivál egy beágyazott Visual Basic szkriptet, amely egy PowerShell-szkriptet hajt végre a memóriában
4. A PowerShell-szkript 3 másikat indít, amelyek megkerülik a felhasználói hozzáférés-szabályozást, anti-VM és anti-analízis ellenőrzéseket hajtanak végre, és letiltják a Windows értesítéseit.
5. Végül letölti és futtatja a RotBotot, amely betölti az XClient lopót.

A csoport az XClient segítségével sokféle személyes adatot lop el, beleértve a közösségi média fiókokat (beleértve az üzleti és reklámozási célokat is), hitelesítő adatokat és pénzügyi adatokat. Ezeket az adatokat azután pénzügyi haszonszerzésre használják fel, beleértve a rossz szereplőknek való eladást is.

„Találtunk néhány vietnami Telegram-csoportot „Kiém tien tử Facebook”, „Mua Bán Scan MINI” és „Mua Bán Scan Meta” néven. – mondta Cisco Talos. "E csoportok nyomon követése során kiderült, hogy földalatti piacokról van szó, ahol többek között áldozatokkal is kereskedtek."

A CoralRaider felfedezése rávilágít a kiberfenyegetések folyamatosan változó természetére, különös tekintettel a pénzügyi kiberbűnözésre. Az érzékeny információk ellopására összpontosítva ez a csoport jelentős kockázatot jelent az egyének és a szervezetek számára egyaránt.

• SEO által támogatott tartalom és PR terjesztés. Erősödjön még ma.
• PlatoData.Network Vertical Generative Ai. Erősítse meg magát. Hozzáférés itt.
• PlatoAiStream. Web3 Intelligence. Felerősített tudás. Hozzáférés itt.
• PlatoESG. Carbon, CleanTech, Energia, Környezet, Nap, Hulladékgazdálkodás. Hozzáférés itt.
• PlatoHealth. Biotechnológiai és klinikai vizsgálatok intelligencia. Hozzáférés itt.
• Forrás: https://www.safetydetectives.com/news/vietnamese-hackers-strike-coralraider-targets-asian-accounts/