กลุ่มอาชญากรรมไซเบอร์หน้าใหม่ที่เกี่ยวข้องกับเวียดนามได้กำหนดเป้าหมายบุคคลและองค์กรในเอเชีย โดยพยายามขโมยข้อมูลบัญชีโซเชียลมีเดียและข้อมูลผู้ใช้
CoralRaider ซึ่งปรากฏตัวครั้งแรกในช่วงปลายปี 2023 อาศัยวิศวกรรมสังคมและบริการที่ถูกกฎหมายสำหรับการขโมยข้อมูลเป็นอย่างมาก และพัฒนาเครื่องมือแบบกำหนดเองสำหรับการโหลดมัลแวร์ลงบนระบบของเหยื่อ อย่างไรก็ตาม กลุ่มยังได้ทำข้อผิดพลาดมือใหม่ เช่น การติดเชื้อในระบบของตนเองโดยไม่ตั้งใจ ซึ่งเปิดเผยกิจกรรมของพวกเขา นักวิจัยด้านภัยคุกคามกับกลุ่มข่าวกรองภัยคุกคาม Talos ของ Cisco ระบุในการวิเคราะห์ใหม่เกี่ยวกับ CoralRaider
ในขณะที่เวียดนามมีความกระตือรือร้นมากขึ้นในปฏิบัติการทางไซเบอร์ แต่กลุ่มนี้ดูเหมือนจะไม่ได้ทำงานร่วมกับรัฐบาล Chetan Raghuprasad ผู้นำด้านเทคนิคการวิจัยด้านความปลอดภัยของกลุ่ม Talos ของ Cisco กล่าว
“สิ่งสำคัญอันดับแรกคือการได้รับผลประโยชน์ทางการเงิน และนักแสดงพยายามที่จะแย่งชิงธุรกิจโซเชียลมีเดียและบัญชีโฆษณาของเหยื่อ” เขากล่าว “ความเสี่ยงที่อาจเกิดขึ้นจากการโจมตีที่ตามมา รวมถึงการส่งมัลแวร์อื่นๆ ก็เป็นไปได้เช่นกัน การวิจัยของเราไม่พบตัวอย่างใดๆ ของน้ำหนักบรรทุกอื่นๆ ที่ถูกส่งออกไป”
ผู้แสดงภัยคุกคามในเวียดนามมักให้ความสำคัญกับโซเชียลมีเดีย ที่ กลุ่ม OceanLotus ที่น่าอับอาย หรือที่รู้จักกันในชื่อ APT32 ได้โจมตีรัฐบาล ผู้เห็นต่าง และนักข่าวในประเทศเอเชียตะวันออกเฉียงใต้ รวมถึงในเวียดนาม กลุ่มที่เกี่ยวข้องกับทหาร Force 47 ซึ่งเชื่อมโยงกับสถานีโทรทัศน์อย่างเป็นทางการของกองทัพเวียดนาม — พยายามโน้มน้าวกลุ่มโซเชียลมีเดียเป็นประจำ.
อย่างไรก็ตาม CoralRaider ดูเหมือนจะเชื่อมโยงกับแรงจูงใจในการแสวงหาผลกำไรมากกว่าวาระชาตินิยม
“ในขณะนี้ เราไม่มีหลักฐานหรือข้อมูลเกี่ยวกับสัญญาณของ CoralRaider ที่ทำงานร่วมกับรัฐบาลเวียดนาม” Raghuprasad กล่าว
ห่วงโซ่การติดเชื้อหลายขั้นตอน
โดยทั่วไปแคมเปญ CoralRaider จะเริ่มต้นด้วยไฟล์ทางลัดของ Windows (.LNK) ซึ่งมักใช้นามสกุล .PDF เพื่อพยายามหลอกเหยื่อให้เปิดไฟล์ ตามการวิเคราะห์ของ Cisco- หลังจากนั้น ผู้โจมตีจะเคลื่อนผ่านชุดของการโจมตี:
-
ทางลัดของ Windows จะดาวน์โหลดและเรียกใช้ไฟล์แอปพลิเคชัน HTML (HTA) จากเซิร์ฟเวอร์ที่ผู้โจมตีควบคุม
-
ไฟล์ HTA รันสคริปต์ Visual Basic ที่ฝังอยู่
-
สคริปต์ VB เรียกใช้งานสคริปต์ PowerShell ซึ่งจะเรียกใช้สคริปต์ PowerShell อีกสามสคริปต์ รวมถึงชุดการตรวจสอบป้องกันการวิเคราะห์เพื่อตรวจสอบว่าเครื่องมือกำลังทำงานในเครื่องเสมือน การบายพาสสำหรับการควบคุมการเข้าถึงผู้ใช้ของระบบ และโค้ดที่ปิดใช้งานการแจ้งเตือนใด ๆ ให้กับผู้ใช้
-
สคริปต์สุดท้ายรัน RotBot ซึ่งเป็นตัวโหลดที่ทำการหลบเลี่ยงการตรวจจับ ดำเนินการลาดตระเวนบนระบบ และดาวน์โหลดไฟล์การกำหนดค่า
-
โดยทั่วไปแล้ว RotBot จะดาวน์โหลด XClient ซึ่งจะรวบรวมข้อมูลผู้ใช้ที่หลากหลายจากระบบ รวมถึงข้อมูลรับรองบัญชีโซเชียลมีเดีย
นอกเหนือจากข้อมูลประจำตัวแล้ว XClient ยังขโมยข้อมูลเบราว์เซอร์ ข้อมูลบัญชีบัตรเครดิต และข้อมูลทางการเงินอื่นๆ อีกด้วย และสุดท้าย XClient จะจับภาพหน้าจอเดสก์ท็อปของเหยื่อแล้วอัปโหลด
ในขณะเดียวกัน นักวิจัยกล่าวว่ามีข้อบ่งชี้ว่าผู้โจมตีได้กำหนดเป้าหมายไปที่บุคคลในเวียดนามเช่นกัน
“ฟังก์ชันขโมย [XClient] จะแมปข้อมูลของเหยื่อที่ถูกขโมยไปเป็นคำภาษาเวียดนามแบบฮาร์ดโค้ด และเขียนลงในไฟล์ข้อความในโฟลเดอร์ชั่วคราวของเครื่องของเหยื่อก่อนที่จะถูกกรอง” การวิเคราะห์ระบุ “ตัวอย่างฟังก์ชันหนึ่งที่เราสังเกตเห็นคือการขโมยบัญชีโฆษณา Facebook ของเหยื่อที่ได้ฮาร์ดโค้ดด้วยคำภาษาเวียดนามสำหรับสิทธิ์ของบัญชี เกณฑ์ การใช้จ่าย โซนเวลา และวันที่สร้าง”
กลุ่ม CoralRaider ใช้บอทอัตโนมัติในบริการ Telegram เป็นช่องทางในการสั่งการและควบคุม ตลอดจนขโมยข้อมูลจากระบบของเหยื่อ อย่างไรก็ตาม ดูเหมือนว่ากลุ่มอาชญากรไซเบอร์จะติดไวรัสในเครื่องของตนเอง เนื่องจากนักวิจัยของ Cisco ค้นพบภาพหน้าจอของข้อมูลที่โพสต์ลงในช่อง
“การวิเคราะห์รูปภาพเดสก์ท็อปของนักแสดงบนบอท Telegram เราพบกลุ่ม Telegram สองสามกลุ่มในภาษาเวียดนามชื่อ 'Kiém tien tử Facebook, 'Mua Bán Scan MINI' และ 'Mua Bán Scan Meta'” Cisco Talos กล่าวในการวิเคราะห์ . “การตรวจสอบกลุ่มเหล่านี้เผยให้เห็นว่าพวกเขาเป็นตลาดใต้ดินที่มีการแลกเปลี่ยนข้อมูลเหยื่อ ท่ามกลางกิจกรรมอื่นๆ”
การมาถึงของ CoralRaider ในที่เกิดเหตุภัยคุกคามทางไซเบอร์นั้นไม่น่าแปลกใจเลย เนื่องจากขณะนี้เวียดนามกำลังเผชิญกับภัยคุกคามที่เพิ่มขึ้นจากมัลแวร์ขโมยบัญชี Sakshi Grover ผู้จัดการฝ่ายวิจัยในกลุ่ม Cybersecurity Services ของ IDC ประจำภูมิภาคเอเชีย/แปซิฟิกกล่าว
“แม้ว่าในอดีตจะมีความเกี่ยวข้องกับอาชญากรรมทางไซเบอร์น้อยกว่าเมื่อเทียบกับประเทศอื่นๆ ในเอเชีย แต่การนำเทคโนโลยีดิจิทัลมาใช้อย่างรวดเร็วของเวียดนามทำให้เสี่ยงต่อภัยคุกคามทางไซเบอร์มากขึ้น” เธอกล่าว “ภัยคุกคามขั้นสูงแบบถาวร (APT) กำลังกำหนดเป้าหมายหน่วยงานภาครัฐ โครงสร้างพื้นฐานที่สำคัญ และธุรกิจมากขึ้น โดยใช้เทคนิคที่ซับซ้อน เช่น มัลแวร์ที่กำหนดเองและวิศวกรรมสังคมเพื่อแทรกซึมระบบและขโมยข้อมูลที่ละเอียดอ่อน”
เนื่องจากสภาพเศรษฐกิจแตกต่างกันไปทั่วประเทศเวียดนาม โดยบางพื้นที่มีโอกาสในการทำงานที่จำกัด ส่งผลให้ค่าจ้างต่ำสำหรับตำแหน่งที่มีทักษะสูง บุคคลอาจถูกจูงใจให้มีส่วนร่วมในอาชญากรรมในโลกไซเบอร์เพื่อหารายได้ Grover กล่าว
- เนื้อหาที่ขับเคลื่อนด้วย SEO และการเผยแพร่ประชาสัมพันธ์ รับการขยายวันนี้
- PlatoData.Network Vertical Generative Ai เพิ่มพลังให้กับตัวเอง เข้าถึงได้ที่นี่.
- เพลโตไอสตรีม. Web3 อัจฉริยะ ขยายความรู้ เข้าถึงได้ที่นี่.
- เพลโตESG. คาร์บอน, คลีนเทค, พลังงาน, สิ่งแวดล้อม แสงอาทิตย์, การจัดการของเสีย. เข้าถึงได้ที่นี่.
- เพลโตสุขภาพ เทคโนโลยีชีวภาพและข่าวกรองการทดลองทางคลินิก เข้าถึงได้ที่นี่.
- ที่มา: https://www.darkreading.com/vulnerabilities-threats/vietnamese-cybercrime-group-coralraider-nets-financial-data
- :มี
- :เป็น
- :ไม่
- :ที่ไหน
- 10
- 11
- 13
- 2023
- 7
- 8
- 9
- a
- เข้า
- ลงชื่อเข้าใช้
- บัญชี
- ข้าม
- คล่องแคล่ว
- กิจกรรม
- นักแสดง
- นอกจากนี้
- การนำมาใช้
- โฆษณา
- สูง
- ด้วย
- ในหมู่
- an
- การวิเคราะห์
- วิเคราะห์
- และ
- ใด
- ปรากฏ
- ปรากฏ
- ปรากฏ
- การใช้งาน
- เป็น
- พื้นที่
- กองทัพบก
- การมาถึง
- AS
- เอเชีย
- เอเชีย
- ที่เกี่ยวข้อง
- At
- โจมตี
- การโจมตี
- ความพยายาม
- พยายาม
- ความพยายามในการ
- อัตโนมัติ
- ขั้นพื้นฐาน
- BE
- เพราะ
- กลายเป็น
- ก่อน
- กำลัง
- ธ ปท
- เบราว์เซอร์
- ธุรกิจ
- ธุรกิจ
- ทางอ้อม
- รณรงค์
- CAN
- บัตร
- โซ่
- ช่อง
- การตรวจสอบ
- วงกลม
- ซิสโก้
- รหัส
- เก็บรวบรวม
- เมื่อเทียบกับ
- เงื่อนไข
- ปฏิบัติ
- องค์ประกอบ
- งานที่เชื่อมต่อ
- การควบคุม
- ประเทศ
- ที่สร้างขึ้น
- หนังสือรับรอง
- เครดิต
- บัตรเครดิต
- วิกฤติ
- โครงสร้างพื้นฐานที่สำคัญ
- ขณะนี้
- ประเพณี
- ไซเบอร์
- อาชญากรรม
- อาชญากรไซเบอร์
- cybersecurity
- ข้อมูล
- วันที่
- ส่ง
- การส่งมอบ
- เดสก์ท็อป
- ตรวจจับ
- การตรวจพบ
- พัฒนา
- ดิจิตอล
- เทคโนโลยีดิจิตอล
- ค้นพบ
- do
- ทำ
- ดาวน์โหลด
- ด้านเศรษฐกิจ
- ภาวะเศรษฐกิจ
- ที่ฝัง
- ว่าจ้าง
- ชั้นเยี่ยม
- หน่วยงาน
- การหลีกเลี่ยง
- หลักฐาน
- ตัวอย่าง
- ตัวอย่าง
- รัน
- การกรอง
- ประสบ
- ที่เปิดเผย
- การเปิดรับ
- นามสกุล
- โฆษณา Facebook
- หันหน้าไปทาง
- สองสาม
- เนื้อไม่มีมัน
- ไฟล์
- ทางการเงิน
- ข้อมูลทางการเงิน
- ชื่อจริง
- โฟกัส
- ดังต่อไปนี้
- สำหรับ
- บังคับ
- พบ
- มัก
- ราคาเริ่มต้นที่
- ฟังก์ชัน
- ได้รับ
- รัฐบาล
- หน่วยงานของรัฐ
- รัฐบาล
- บัญชีกลุ่ม
- กลุ่ม
- โกรเวอร์
- มี
- มี
- he
- หนัก
- อย่างสูง
- จี้
- อดีต
- อย่างไรก็ตาม
- HTML
- HTTPS
- ICON
- ไอดีซี
- if
- ภาพ
- in
- โดยไม่ตั้งใจ
- แรงจูงใจ
- รวมทั้ง
- เพิ่ม
- ขึ้น
- ตัวชี้วัด
- บุคคล
- ที่ติดเชื้อ
- มีอิทธิพล
- ข้อมูล
- โครงสร้างพื้นฐาน
- ไอเอ็นจี
- Intelligence
- เข้าไป
- IT
- การสัมภาษณ์
- ผู้สื่อข่าว
- jpeg
- ที่รู้จักกัน
- ในที่สุด
- ปลาย
- ผู้นำ
- ถูกกฎหมาย
- น้อยลง
- กดไลก์
- ถูก จำกัด
- ที่เชื่อมโยง
- loader
- โหลด
- ต่ำ
- เครื่อง
- เครื่อง
- ทำ
- หลัก
- ทำ
- สร้างรายได้
- มัลแวร์
- ผู้จัดการ
- แผนที่
- ตลาด
- ภาพบรรยากาศ
- Meta
- ความผิดพลาด
- ขณะ
- เงิน
- การตรวจสอบ
- ข้อมูลเพิ่มเติม
- ย้าย
- ที่มีชื่อ
- เนชั่น
- อวน
- ใหม่
- ผู้มาใหม่
- การแจ้งเตือน
- of
- เป็นทางการ
- มักจะ
- on
- ONE
- ไปยัง
- การเปิด
- การดำเนินการ
- โอกาส
- or
- องค์กร
- อื่นๆ
- ของเรา
- ของตนเอง
- รูปแบบไฟล์ PDF
- ดำเนินการ
- เพลโต
- เพลโตดาต้าอินเทลลิเจนซ์
- เพลโตดาต้า
- เป็นไปได้
- โพสต์
- ที่มีศักยภาพ
- PowerShell
- ลำดับความสำคัญ
- กำไร
- รวดเร็ว
- ค่อนข้าง
- ภูมิภาค
- อาศัย
- การวิจัย
- นักวิจัย
- ส่งผลให้
- รอยเตอร์ส
- เปิดเผย
- สิทธิ
- บทบาท
- วิ่ง
- ทำงาน
- s
- กล่าว
- พูดว่า
- การสแกน
- ฉาก
- ภาพหน้าจอ
- ต้นฉบับ
- สคริปต์
- ความปลอดภัย
- เห็น
- มีความละเอียดอ่อน
- ชุด
- บริการ
- บริการ
- เธอ
- สัญญาณ
- มีฝีมือ
- สังคม
- วิศวกรรมทางสังคม
- โซเชียลมีเดีย
- บาง
- ซับซ้อน
- ทิศตะวันออกเฉียงใต้
- การใช้จ่าย
- ขั้นตอน
- เริ่มต้น
- ระบุ
- สถานี
- ขโมย
- ขโมย
- ที่ถูกขโมย
- อย่างเช่น
- น่าแปลกใจ
- ฉลาด
- ระบบ
- ระบบ
- ใช้เวลา
- ลอส
- เป้าหมาย
- กำหนดเป้าหมาย
- วิชาการ
- เทคนิค
- เทคโนโลยี
- Telegram
- โทรทัศน์
- ชั่วคราว
- ข้อความ
- กว่า
- ที่
- พื้นที่
- ข้อมูล
- ของพวกเขา
- พวกเขา
- แล้วก็
- ที่นั่น
- ล้อยางขัดเหล่านี้ติดตั้งบนแกน XNUMX (มม.) ผลิตภัณฑ์นี้ถูกผลิตในหลายรูปทรง และหลากหลายเบอร์ความแน่นหนาของปริมาณอนุภาคขัดของมัน จะทำให้ท่านได้รับประสิทธิภาพสูงในการขัดและการใช้งานที่ยาวนาน
- พวกเขา
- นี้
- การคุกคาม
- ตัวแสดงภัยคุกคาม
- ภัยคุกคาม
- สาม
- ธรณีประตู
- ตลอด
- เวลา
- ไปยัง
- เครื่องมือ
- เครื่องมือ
- ซื้อขาย
- เป็นปกติ
- ใต้ดิน
- มือสอง
- ผู้ใช้งาน
- การใช้
- การใช้ประโยชน์
- ความหลากหลาย
- แตกต่าง
- เหยื่อ
- ผู้ที่ตกเป็นเหยื่อ
- เวียดนาม
- เวียตนาม
- เสมือน
- เครื่องเสมือน
- ภาพ
- ค่าจ้าง
- คือ
- we
- ดี
- คือ
- ที่
- ในขณะที่
- หน้าต่าง
- กับ
- คำ
- การทำงาน
- ยัง
- ลมทะเล
- โซน