Vietnamski hekerji napadli: CoralRaider cilja na azijske račune

Objavljeno dne: April 6, 2024

Cisco Talos, podjetje za tehnologijo kibernetske varnosti in informacijsko varnost s sedežem v Marylandu, je pred kratkim odkrilo novo kibernetsko grožnjo, imenovano »CoralRaider«, ki naj bi izvirala iz Vietnama in jo poganja finančni dobiček.

Od približno leta 2023 CoralRaider cilja na posameznike v različnih azijskih in jugovzhodnih azijskih državah, vključno z Indijo, Bangladešem, Kitajsko, Vietnamom, Južno Korejo, Indonezijo in drugimi.

Za izvedbo svojih shem CoralRaider uporablja sofisticirana orodja, kot je RotBot, spremenjena različica QuasarRAT in XClient stealer. Poleg tega uporabljajo tehniko, imenovano »dead drop«, z zakonitimi storitvami za prikrivanje svojih zlonamernih datotek, skupaj z neobičajnimi programi, kot sta Forfiles.exe in FoDHelper.exe, da se izognejo zaznavanju.

Napad poteka po preprostem postopku:

1. Uporabnik odpre zlonamerno datoteko Windows Shortcut
2. Datoteka prenese in izvede datoteko aplikacije HTML (HTA) s strežnika za prenos, ki ga nadzoruje napadalec
3. HTA aktivira vdelan skript Visual Basic, ki izvede skript PowerShell v pomnilniku
4. Skript PowerShell sproži 3 druge, ki obidejo nadzor uporabniškega dostopa, izvajajo preverjanja proti VM in analizi ter onemogočijo obvestila sistema Windows
5. Na koncu prenese in zažene RotBot, ki naloži kradljivca XClient.

Skupina uporablja XClient za krajo številnih vrst osebnih podatkov, vključno z računi družbenih medijev (vključno s tistimi, ki se uporabljajo za poslovanje in oglaševanje), poverilnicami in finančnimi podatki. Ti podatki se nato uporabijo za finančne koristi, vključno s prodajo drugim slabim akterjem.

»Našli smo nekaj skupin Telegram v vietnamščini z imenom 'Kiém tien tử Facebook,' 'Mua Bán Scan MINI' in 'Mua Bán Scan Meta.' « je dejal Cisco Talos. "Spremljanje teh skupin je razkrilo, da gre za podzemne trge, kjer se med drugimi dejavnostmi trguje s podatki o žrtvah."

Odkritje CoralRaiderja poudarja nenehno razvijajočo se naravo kibernetskih groženj, zlasti v zvezi s finančnim kibernetskim kriminalom. Ker se osredotoča na krajo občutljivih informacij, ta skupina predstavlja veliko tveganje za posameznike in organizacije.

• Distribucija vsebine in PR s pomočjo SEO. Okrepite se še danes.
• PlatoData.Network Vertical Generative Ai. Opolnomočite se. Dostopite tukaj.
• PlatoAiStream. Web3 Intelligence. Razširjeno znanje. Dostopite tukaj.
• PlatoESG. Ogljik, CleanTech, Energija, Okolje, sončna energija, Ravnanje z odpadki. Dostopite tukaj.
• PlatoHealth. Obveščanje o biotehnologiji in kliničnih preskušanjih. Dostopite tukaj.
• vir: https://www.safetydetectives.com/news/vietnamese-hackers-strike-coralraider-targets-asian-accounts/