Atak wietnamskich hakerów: CoralRaider atakuje konta azjatyckie

Opublikowany: 6 kwietnia 2024 r.

Cisco Talos, firma zajmująca się technologią cyberbezpieczeństwa i bezpieczeństwem informacji z siedzibą w Maryland, odkryła niedawno nowe zagrożenie cybernetyczne o nazwie „CoralRaider”, które prawdopodobnie pochodzi z Wietnamu i jego celem jest zysk finansowy.

Od około 2023 r. CoralRaider atakuje osoby w różnych krajach Azji i Azji Południowo-Wschodniej, w tym w Indiach, Bangladeszu, Chinach, Wietnamie, Korei Południowej, Indonezji i innych.

Do realizacji swoich planów CoralRaider wykorzystuje zaawansowane narzędzia, takie jak RotBot, zmodyfikowana wersja QuasarRAT i narzędzie do kradzieży XClient. Ponadto wykorzystują technikę zwaną „martwą kroplą”, korzystając z legalnych usług w celu ukrycia swoich szkodliwych plików, a także nietypowych programów, takich jak Forfiles.exe i FoDHelper.exe, aby uniknąć wykrycia.

Atak przebiega według prostego procesu:

1. Użytkownik otwiera złośliwy plik skrótu systemu Windows
2. Plik pobiera i wykonuje plik aplikacji HTML (HTA) z serwera pobierania kontrolowanego przez osobę atakującą
3. HTA aktywuje osadzony skrypt Visual Basic, który wykonuje skrypt PowerShell w pamięci
4. Skrypt PowerShell inicjuje 3 inne, które omijają kontrolę dostępu użytkownika, wykonują kontrole anty-VM i antyanalizę oraz wyłączają powiadomienia systemu Windows
5. Na koniec pobiera i uruchamia RotBota, który ładuje złodzieja XClient.

Grupa wykorzystuje XClient do kradzieży wielu rodzajów danych osobowych, w tym kont w mediach społecznościowych (w tym tych wykorzystywanych w celach biznesowych i reklamowych), danych uwierzytelniających i danych finansowych. Dane te są następnie wykorzystywane do celów finansowych, w tym do sprzedaży innym złym podmiotom.

„Znaleźliśmy kilka grup na Telegramie w języku wietnamskim o nazwach „Kiém tien tử Facebook”, „Mua Bán Scan MINI” i „Mua Bán Scan Meta”. – powiedział Cisco Talos. „Monitorowanie tych grup ujawniło, że były to podziemne rynki, na których między innymi handlowano danymi ofiar”.

Odkrycie CoralRaidera uwydatnia stale ewoluujący charakter zagrożeń cybernetycznych, szczególnie związanych z cyberprzestępczością finansową. Koncentrując się na kradzieży poufnych informacji, grupa ta stwarza znaczne ryzyko zarówno dla osób fizycznych, jak i organizacji.

• Dystrybucja treści i PR oparta na SEO. Uzyskaj wzmocnienie już dziś.
• PlatoData.Network Pionowe generatywne AI. Wzmocnij się. Dostęp tutaj.
• PlatoAiStream. Inteligencja Web3. Wiedza wzmocniona. Dostęp tutaj.
• PlatonESG. Węgiel Czysta technologia, Energia, Środowisko, Słoneczny, Gospodarowanie odpadami. Dostęp tutaj.
• Platon Zdrowie. Inteligencja w zakresie biotechnologii i badań klinicznych. Dostęp tutaj.
• Źródło: https://www.safetydetectives.com/news/vietnamese-hackers-strike-coralraider-targets-asian-accounts/