Vietnamesiske Hackers Strike: CoralRaider retter seg mot asiatiske kontoer

Publisert på: April 6, 2024

Cisco Talos, et cybersikkerhetsteknologi- og informasjonssikkerhetsselskap basert i Maryland, avdekket nylig en ny cybertrussel kalt "CoralRaider", som antas å stamme fra Vietnam og være drevet av økonomisk gevinst.

Siden rundt 2023 har CoralRaider vært rettet mot individer i ulike asiatiske og sørøstasiatiske land, inkludert India, Bangladesh, Kina, Vietnam, Sør-Korea, Indonesia og andre.

For å gjennomføre ordningene deres, bruker CoralRaider sofistikerte verktøy som RotBot, en modifisert versjon av QuasarRAT, og XClient stealer. I tillegg bruker de en teknikk som kalles "dead drop", ved å bruke legitime tjenester for å skjule de skadelige filene deres, sammen med uvanlige programmer som Forfiles.exe og FoDHelper.exe for å unngå oppdagelse.

Angrepet følger en enkel prosess:

1. Brukeren åpner en ondsinnet Windows-snarveisfil
2. Filen laster ned og kjører en HTML-applikasjonsfil (HTA) fra en angriperkontrollert nedlastingsserver
3. HTA aktiverer et innebygd Visual Basic-skript som kjører et PowerShell-skript i minnet
4. PowerShell-skriptet initierer 3 andre som omgår brukertilgangskontroller, utfører anti-VM og anti-analyse kontroller og deaktiverer Windows-varsler
5. Til slutt laster den ned og kjører RotBot, som laster XClient-tyveren.

Gruppen bruker XClient til å stjele mange typer personlige data, inkludert kontoer på sosiale medier (inkludert de som brukes til virksomhet og reklame), legitimasjon og økonomiske data. Disse dataene brukes deretter til økonomisk gevinst, inkludert salg til andre dårlige aktører.

"Vi fant noen få Telegram-grupper på vietnamesisk kalt 'Kiém tien tử Facebook', 'Mua Bán Scan MINI' og 'Mua Bán Scan Meta.' " sa Cisco Talos. "Overvåking av disse gruppene avslørte at de var underjordiske markeder hvor blant annet offerdata ble handlet."

Oppdagelsen av CoralRaider fremhever den stadig utviklende naturen til cybertrusler, spesielt angående finansiell cyberkriminalitet. Med fokus på å stjele sensitiv informasjon, utgjør denne gruppen en betydelig risiko for både enkeltpersoner og organisasjoner.

• SEO-drevet innhold og PR-distribusjon. Bli forsterket i dag.
• PlatoData.Network Vertical Generative Ai. Styrk deg selv. Tilgang her.
• PlatoAiStream. Web3 Intelligence. Kunnskap forsterket. Tilgang her.
• PlatoESG. Karbon, CleanTech, Energi, Miljø, Solenergi, Avfallshåndtering. Tilgang her.
• PlatoHelse. Bioteknologisk og klinisk etterretning. Tilgang her.
• kilde: https://www.safetydetectives.com/news/vietnamese-hackers-strike-coralraider-targets-asian-accounts/