En nykomlinggrupp för cyberbrottslighet kopplad till Vietnam har riktat in sig på individer och organisationer i Asien och försökt stjäla kontoinformation och användardata på sociala medier.
CoralRaider, som först dök upp i slutet av 2023, är starkt beroende av social ingenjörskonst och legitima tjänster för dataexfiltrering, och det utvecklar anpassade verktyg för att ladda skadlig programvara på offersystem. Ändå har gruppen också gjort några nybörjarmisstag, som att oavsiktligt infektera sina egna system, vilket avslöjade deras aktiviteter, konstaterade hotforskare med Ciscos Talos-hotunderrättelsegrupp i en ny analys på CoralRaider.
Medan Vietnam har blivit allt mer aktiv inom cyberoperationer verkar denna grupp inte samarbeta med regeringen, säger Chetan Raghuprasad, teknisk ledare för säkerhetsforskning för Ciscos Talos-grupp.
"Huvudprioriteten är ekonomisk vinst, och skådespelaren försöker kapa offrets sociala medier och reklamkonton", säger han. "Den potentiella exponeringen för uppföljande attacker, inklusive leverans av annan skadlig programvara, är också möjlig. Vår forskning har inte sett några exempel på att andra nyttolaster har levererats.”
Hotaktörer från Vietnam fokuserar ofta på sociala medier. De ökända OceanLotus-gruppen — även känd som APT32 — har attackerat andra regeringar, dissidenter och journalister i sydostasiatiska länder, inklusive i Vietnam. En militärassocierad grupp, Force 47 – kopplad till den vietnamesiska arméns officiella tv-station – försöker regelbundet påverka sociala mediegrupper.
CoralRaider verkar dock vara kopplad till vinstintressen snarare än nationalistiska agendor.
"För närvarande har vi inga bevis eller information om tecken på att CoralRaider arbetar med den vietnamesiska regeringen," säger Raghuprasad.
Flerstegs infektionskedja
En CoralRaider-kampanj börjar vanligtvis med en Windows-genvägsfil (.LNK), som ofta använder en .PDF-tillägg i ett försök att lura offret att öppna filerna, enligt Ciscos analys. Efter det går angriparna genom en serie stadier i sin attack:
-
Windows-genvägar laddar ner och kör en HTML-programfil (HTA) från en angriparkontrollerad server
-
HTA-filen kör ett inbäddat Visual Basic-skript
-
VB-skriptet kör ett PowerShell-skript, som sedan kör ytterligare tre PowerShell-skript, inklusive en serie antianalyskontroller för att upptäcka om verktyget körs i en virtuell maskin, en bypass för systemets användaråtkomstkontroller och kod som inaktiverar alla meddelanden till användaren
-
Det sista skriptet kör RotBot, en laddare som utför upptäcktsflykt, genomför spaning på systemet och laddar ner en konfigurationsfil
-
RotBot laddar sedan vanligtvis ner XClient, som samlar in en mängd olika användardata från systemet, inklusive kontouppgifter för sociala medier
Förutom inloggningsuppgifter stjäl XClient även webbläsardata, kreditkortskontoinformation och annan ekonomisk data. Och slutligen tar XClient en skärmdump av offrets skrivbord och laddar upp den.
Samtidigt säger forskarna att det finns indikationer på att angriparna hade riktat in sig på individer även i Vietnam.
"Stjälfunktionen [XClient] mappar det stulna offrets information till hårdkodade vietnamesiska ord och skriver dem till en textfil på offermaskinens temporära mapp innan exfiltrering," stod det i analysen. "Ett exempel på en funktion som vi observerade används för att stjäla offrets Facebook Ads-konto som har hårdkodats med vietnamesiska ord för kontorättigheter, tröskelvärde, spenderat, tidszon och skapat datum."
CoralRaider-gruppen använde en automatiserad bot på Telegram-tjänsten som en kommando-och-kontrollkanal och för att exfiltrera data från offrens system. Den cyberkriminella gruppen verkar dock ha infekterat en av sina egna maskiner, eftersom Cisco-forskarna upptäckte skärmdumpar av informationen som lagts upp på kanalen.
"När vi analyserade bilderna av skådespelarens skrivbord på Telegram-boten hittade vi några Telegram-grupper på vietnamesiska som heter 'Kiém tien tử Facebook, 'Mua Bán Scan MINI' och 'Mua Bán Scan Meta'", sa Cisco Talos i analysen . "Att övervaka dessa grupper avslöjade att de var underjordiska marknader där, bland annat, offerdata handlades."
CoralRaiders ankomst till cyberhotsscenen är inte förvånande: Vietnam står för närvarande inför en ökning av hoten från skadlig programvara som stjäl konton, säger Sakshi Grover, forskningschef i IDC:s Cybersecurity Services-grupp för Asien/Stillahavsområdet.
"Även om det historiskt sett är mindre förknippat med cyberbrott jämfört med andra asiatiska länder, har Vietnams snabba införande av digital teknik gjort det mer mottagligt för cyberhot", säger hon. "Avancerade ihållande hot (APT) riktar sig allt mer mot statliga enheter, kritisk infrastruktur och företag, med hjälp av sofistikerade tekniker som anpassad skadlig programvara och social ingenjörskonst för att infiltrera system och stjäla känslig data."
Eftersom de ekonomiska förhållandena varierar över Vietnam – med vissa områden som upplever begränsade jobbmöjligheter, vilket resulterar i låga löner för högkvalificerade roller – kan individer få incitament att engagera sig i cyberbrottslighet för att tjäna pengar, säger Grover.
- SEO-drivet innehåll och PR-distribution. Bli förstärkt idag.
- PlatoData.Network Vertical Generative Ai. Styrka dig själv. Tillgång här.
- PlatoAiStream. Web3 Intelligence. Kunskap förstärkt. Tillgång här.
- Platoesg. Kol, CleanTech, Energi, Miljö, Sol, Avfallshantering. Tillgång här.
- PlatoHealth. Biotech och kliniska prövningar Intelligence. Tillgång här.
- Källa: https://www.darkreading.com/vulnerabilities-threats/vietnamese-cybercrime-group-coralraider-nets-financial-data
- : har
- :är
- :inte
- :var
- 10
- 11
- 13
- 2023
- 7
- 8
- 9
- a
- tillgång
- Konto
- konton
- tvärs
- aktiv
- aktiviteter
- aktörer
- Dessutom
- Antagande
- annonser
- avancerat
- också
- bland
- an
- analys
- analys
- och
- vilken som helst
- visas
- syntes
- visas
- Ansökan
- ÄR
- områden
- Armé
- ankomst
- AS
- asien
- asiatisk
- associerad
- At
- attackera
- Attacker
- försök
- försök
- Försök
- Automatiserad
- grundläggande
- BE
- därför att
- blir
- innan
- Där vi får lov att vara utan att konstant prestera,
- Bot
- webbläsare
- företag
- företag
- bypass
- Kampanj
- KAN
- kortet
- kedja
- Kanal
- Kontroller
- Circle
- Cisco
- koda
- samlar
- jämfört
- villkor
- beteenden
- konfiguration
- anslutna
- kontroller
- länder
- skapas
- referenser
- kredit
- kreditkort
- kritisk
- Kritisk infrastruktur
- För närvarande
- beställnings
- cyber
- cyberbrottslighet
- IT-KRIMINELL
- Cybersäkerhet
- datum
- Datum
- levereras
- leverera
- desktop
- upptäcka
- Detektering
- utvecklar
- digital
- digital teknik
- upptäckt
- do
- gör
- Nedladdningar
- Ekonomisk
- Ekonomiska förhållanden
- inbäddade
- engagera
- Teknik
- enheter
- skatteflykt
- bevis
- exempel
- exempel
- Utför
- exfiltrering
- upplever
- utsatta
- Exponering
- förlängning
- Facebook annonser
- vänd
- få
- Fil
- Filer
- finansiella
- finansiella data
- Förnamn
- Fokus
- efter
- För
- kraft
- hittade
- ofta
- från
- fungera
- Få
- Regeringen
- Statliga enheter
- Regeringar
- Grupp
- Gruppens
- Grover
- hade
- Har
- he
- kraftigt
- höggradigt
- kapa
- historiskt
- Men
- html
- HTTPS
- IKON
- IDC
- if
- bilder
- in
- oavsiktligt
- incitament
- Inklusive
- Öka
- alltmer
- indikationer
- individer
- infekterade
- påverka
- informationen
- Infrastruktur
- ING
- Intelligens
- in
- IT
- Jobb
- journalister
- jpeg
- känd
- slutligen
- Sent
- ledare
- legitim
- mindre
- tycka om
- Begränsad
- kopplade
- Lastaren
- läser in
- Låg
- Maskinen
- Maskiner
- gjord
- Huvudsida
- göra
- tjäna pengar
- malware
- chef
- kartor
- Marknader
- Media
- meta
- misstag
- ögonblick
- pengar
- övervakning
- mer
- flytta
- Som heter
- nationer
- Nets
- Nya
- nykomling
- anmälningar
- of
- tjänsteman
- Ofta
- on
- ONE
- till
- öppning
- Verksamhet
- möjligheter
- or
- organisationer
- Övriga
- vår
- egen
- utför
- plato
- Platon Data Intelligence
- PlatonData
- möjlig
- posted
- potentiell
- Power
- prioritet
- Vinst
- snabb
- snarare
- region
- därefter samman
- forskning
- forskare
- resulterande
- Reuters
- avslöjade
- rättigheter
- roller
- rinnande
- kör
- s
- säga
- säger
- scanna
- scen
- skärmdumpar
- skript
- skript
- säkerhet
- sett
- känslig
- Serier
- service
- Tjänster
- hon
- Tecken
- skicklig
- Social hållbarhet
- Samhällsteknik
- sociala medier
- några
- sofistikerade
- sydöst
- spent
- stadier
- startar
- anges
- stationen
- stjäla
- stjäl
- stulna
- sådana
- förvånande
- apt
- system
- System
- tar
- Talos
- riktade
- targeting
- Teknisk
- tekniker
- Tekniken
- Telegram
- tv
- temporär
- text
- än
- den där
- Smakämnen
- den information
- deras
- Dem
- sedan
- Där.
- Dessa
- de
- detta
- hot
- hotaktörer
- hot
- tre
- tröskelvärde
- Genom
- tid
- till
- verktyg
- verktyg
- handlas
- typiskt
- underjordiska
- Begagnade
- Användare
- med hjälp av
- Använda
- mängd
- variera
- Victim
- offer
- Vietnam
- vietnames
- Virtuell
- virtuell maskin
- visuell
- lön
- var
- we
- VÄL
- były
- som
- medan
- fönster
- med
- ord
- arbetssätt
- ännu
- zephyrnet
- zon