Een nieuwkomer cybercriminaliteitsgroep gelinkt aan Vietnam heeft zich gericht op individuen en organisaties in Azië, in een poging om accountinformatie en gebruikersgegevens van sociale media te stelen.
CoralRaider, dat eind 2023 voor het eerst verscheen, leunt sterk op social engineering en legitieme diensten voor data-exfiltratie, en ontwikkelt aangepaste tools voor het laden van malware op slachtoffersystemen. Toch heeft de groep ook enkele beginnersfouten gemaakt, zoals het onbedoeld infecteren van hun eigen systemen, waardoor hun activiteiten aan het licht kwamen, stellen dreigingsonderzoekers van Cisco's Talos-dreigingsinformatiegroep in een nieuwe analyse op CoralRaider.
Hoewel Vietnam steeds actiever is geworden op het gebied van cyberoperaties, lijkt deze groep niet samen te werken met de overheid, zegt Chetan Raghuprasad, technisch leider op het gebied van beveiligingsonderzoek voor Cisco's Talos-groep.
“De belangrijkste prioriteit is financieel gewin, en de acteur probeert de sociale media-activiteiten en advertentieaccounts van het slachtoffer te kapen”, zegt hij. “De potentiële blootstelling aan vervolgaanvallen, inclusief het leveren van andere malware, is ook mogelijk. Uit ons onderzoek zijn geen voorbeelden gebleken van de levering van andere ladingen.”
Bedreigingsactoren in Vietnam richten zich vaak op sociale media. De beruchte OceanLotus-groep – ook bekend als APT32 – heeft andere regeringen, dissidenten en journalisten in Zuidoost-Aziatische landen aangevallen, waaronder Vietnam. Een militair geassocieerde groep, Force 47 – verbonden met het officiële televisiestation van het Vietnamese leger – probeert regelmatig sociale mediagroepen te beïnvloeden.
CoralRaider lijkt echter eerder verband te houden met winstmotieven dan met nationalistische agenda's.
“Op dit moment hebben we geen enkel bewijs of informatie over tekenen dat CoralRaider samenwerkt met de Vietnamese overheid”, zegt Raghuprasad.
Meertraps infectieketen
Een CoralRaider-campagne begint doorgaans met een Windows-snelkoppelingsbestand (.LNK), vaak met behulp van de extensie .PDF, in een poging het slachtoffer te misleiden om de bestanden te openen. volgens de Cisco-analyse. Daarna doorlopen de aanvallers een reeks fasen in hun aanval:
-
Met de Windows-snelkoppeling wordt een HTML-toepassingsbestand (HTA) gedownload en uitgevoerd vanaf een door een aanvaller bestuurde server
-
HTA-bestand voert een ingebed Visual Basic-script uit
-
VB-script voert een PowerShell-script uit, dat vervolgens nog drie PowerShell-scripts uitvoert, inclusief een reeks anti-analysecontroles om te detecteren of de tool op een virtuele machine draait, een bypass voor de gebruikerstoegangscontroles van het systeem en code die eventuele meldingen uitschakelt aan de gebruiker
-
Het definitieve script voert RotBot uit, een lader die detectieontduiking uitvoert, verkenningen op het systeem uitvoert en een configuratiebestand downloadt
-
RotBot downloadt vervolgens doorgaans XClient, dat een verscheidenheid aan gebruikersgegevens van het systeem verzamelt, inclusief inloggegevens voor sociale media-accounts
Naast inloggegevens steelt XClient ook browsergegevens, creditcardgegevens en andere financiële gegevens. En ten slotte maakt XClient een screenshot van de desktop van het slachtoffer en uploadt deze.
Ondertussen zeggen de onderzoekers dat er aanwijzingen zijn dat de aanvallers zich ook op individuen in Vietnam hadden gericht.
"De [XClient] stealer-functie koppelt de informatie van het gestolen slachtoffer aan hardgecodeerde Vietnamese woorden en schrijft deze naar een tekstbestand in de tijdelijke map van de slachtoffermachine voordat deze wordt geëxfiltreerd", aldus de analyse. “Een voorbeeldfunctie die we hebben waargenomen, wordt gebruikt om het Facebook Ads-account van het slachtoffer te stelen, dat hardgecodeerd is met Vietnamese woorden voor Accountrechten, Drempel, Besteed, Tijdzone en Aanmaakdatum.”
De CoralRaider-groep gebruikte een geautomatiseerde bot op de Telegram-service als commando- en controlekanaal en om gegevens uit de systemen van slachtoffers te exfiltreren. De cybercriminele groep lijkt echter een van hun eigen machines te hebben geïnfecteerd, omdat de Cisco-onderzoekers screenshots ontdekten van de informatie die op het kanaal was geplaatst.
“Bij het analyseren van de afbeeldingen van het bureaublad van de acteur op de Telegram-bot vonden we een paar Telegram-groepen in het Vietnamees genaamd ‘Kiém tien tử Facebook, ‘Mua Bán Scan MINI’ en ‘Mua Bán Scan Meta’”, aldus Cisco Talos in de analyse . “Uit het monitoren van deze groepen bleek dat het ondergrondse markten waren waar onder meer slachtoffergegevens werden verhandeld.”
De komst van CoralRaider op het gebied van cyberdreigingen is niet verrassend: Vietnam wordt momenteel geconfronteerd met een toename van de bedreigingen door malware die accounts steelt, zegt Sakshi Grover, onderzoeksmanager bij IDC's Cybersecurity Services-groep voor de regio Azië/Pacific.
“Hoewel Vietnam historisch minder geassocieerd is met cybercriminaliteit dan andere Aziatische landen, heeft de snelle adoptie van digitale technologieën het land kwetsbaarder gemaakt voor cyberdreigingen”, zegt ze. “Geavanceerde persistente bedreigingen (APT’s) richten zich steeds vaker op overheidsinstanties, kritieke infrastructuur en bedrijven, waarbij gebruik wordt gemaakt van geavanceerde technieken zoals aangepaste malware en social engineering om systemen te infiltreren en gevoelige gegevens te stelen.”
Omdat de economische omstandigheden in heel Vietnam variëren – waarbij sommige gebieden beperkte kansen op werk hebben, wat resulteert in lage lonen voor hooggekwalificeerde functies – kunnen individuen worden gestimuleerd om cybercriminaliteit te plegen om geld te verdienen, zegt Grover.
- Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
- PlatoData.Network Verticale generatieve AI. Versterk jezelf. Toegang hier.
- PlatoAiStream. Web3-intelligentie. Kennis versterkt. Toegang hier.
- PlatoESG. carbon, CleanTech, Energie, Milieu, Zonne, Afvalbeheer. Toegang hier.
- Plato Gezondheid. Intelligentie op het gebied van biotech en klinische proeven. Toegang hier.
- Bron: https://www.darkreading.com/vulnerabilities-threats/vietnamese-cybercrime-group-coralraider-nets-financial-data
- : heeft
- :is
- :niet
- :waar
- 10
- 11
- 13
- 2023
- 7
- 8
- 9
- a
- toegang
- Account
- accounts
- over
- actieve
- activiteiten
- actoren
- toevoeging
- Adoptie
- advertenties
- vergevorderd
- ook
- onder
- an
- analyse
- het analyseren van
- en
- elke
- verschijnen
- verscheen
- komt naar voren
- Aanvraag
- ZIJN
- gebieden
- Leger
- aankomst
- AS
- Azië
- Aziatisch
- geassocieerd
- At
- aanvallen
- Aanvallen
- poging
- proberen
- pogingen
- geautomatiseerde
- basis-
- BE
- omdat
- worden
- vaardigheden
- wezen
- Bot
- browser
- bedrijfsdeskundigen
- ondernemingen
- bypass
- Campagne
- CAN
- kaart
- keten
- Kanaal
- Controles
- Circle
- Cisco
- code
- verzamelt
- vergeleken
- voorwaarden
- gedragingen
- Configuratie
- gekoppeld blijven
- controles
- landen
- aangemaakt
- Geloofsbrieven
- Credits
- creditkaart
- kritisch
- Kritische infrastructuur
- Op dit moment
- gewoonte
- cyber
- cybercrime
- CYBERCRIMINEEL
- Cybersecurity
- gegevens
- Datum
- geleverd
- het leveren van
- desktop
- opsporen
- Opsporing
- ontwikkelt
- digitaal
- digitale technologieën
- ontdekt
- do
- doet
- downloads
- Economisch
- Economische omstandigheden
- ingebed
- toegewijd
- Engineering
- entiteiten
- ontduiking
- bewijzen
- voorbeeld
- voorbeelden
- Voert uit
- exfiltratie
- het ervaren van
- blootgestelde
- Media
- uitbreiding
- Facebook advertenties
- naar
- weinig
- Dien in
- Bestanden
- financieel
- financiële data
- Voornaam*
- Focus
- volgend
- Voor
- Dwingen
- gevonden
- vaak
- oppompen van
- functie
- Krijgen
- Overheid
- Overheidsinstanties
- overheden
- Groep
- Groep
- Grover
- HAD
- Hebben
- he
- hard
- zeer
- hijack
- historisch
- Echter
- HTML
- HTTPS
- ICON
- IDC
- if
- afbeeldingen
- in
- onbedoeld
- gestimuleerd
- Inclusief
- Laat uw omzet
- in toenemende mate
- indicaties
- individuen
- besmet
- beïnvloeden
- informatie
- Infrastructuur
- ING
- Intelligentie
- in
- IT
- Jobomschrijving:
- Journalisten
- jpeg
- bekend
- tot slot
- Laat
- leider
- rechtmatig
- minder
- als
- Beperkt
- gekoppeld
- lader
- het laden
- Laag
- machine
- Machines
- gemaakt
- Hoofd
- maken
- geld verdienen
- malware
- manager
- Maps
- Markten
- Media
- meta
- fouten
- moment
- geld
- Grensverkeer
- meer
- beweging
- Genoemd
- Landen
- Netten
- New
- nieuweling
- meldingen
- of
- officieel
- vaak
- on
- EEN
- naar
- opening
- Operations
- Kansen
- or
- organisaties
- Overige
- onze
- het te bezitten.
- presteert
- Plato
- Plato gegevensintelligentie
- PlatoData
- mogelijk
- geplaatst
- potentieel
- PowerShell
- prioriteit
- Profit
- snel
- liever
- regio
- beroept
- onderzoek
- onderzoekers
- verkregen
- Reuters
- Revealed
- rechten
- rollen
- lopend
- loopt
- s
- ervaren
- zegt
- aftasten
- scène
- screenshots
- script
- scripts
- veiligheid
- gezien
- gevoelig
- -Series
- service
- Diensten
- ze
- Signs
- geschoold
- Social
- Social engineering
- social media
- sommige
- geraffineerd
- zuidoosten
- besteed
- stadia
- starts
- bepaald
- station
- stelen
- steals
- gestolen
- dergelijk
- verrassend
- geneigd
- system
- Systems
- neemt
- Talos
- doelgerichte
- targeting
- Technisch
- technieken
- Technologies
- Telegram
- televisie
- tijdelijk
- tekst
- neem contact
- dat
- De
- de informatie
- hun
- Ze
- harte
- Er.
- Deze
- ze
- dit
- bedreiging
- bedreigingsactoren
- bedreigingen
- drie
- drempel
- Door
- niet de tijd of
- naar
- tools
- tools
- verhandeld
- typisch
- onder de grond
- gebruikt
- Gebruiker
- gebruik
- Gebruik makend
- variëteit
- variëren
- Slachtoffer
- slachtoffers
- Vietnam
- Vietnamees
- Virtueel
- virtuele machine
- visuele
- loon
- was
- we
- GOED
- waren
- welke
- en
- ruiten
- Met
- woorden
- werkzaam
- nog
- zephyrnet
- zone