В'єтнамські хакери атакують: CoralRaider націлений на азіатські облікові записи

Опубліковано: Квітень 6, 2024

Cisco Talos, компанія з технологій кібербезпеки та інформаційної безпеки, що базується в Меріленді, нещодавно виявила нову кіберзагрозу під назвою «CoralRaider», яка, як вважають, походить із В’єтнаму та спричинена фінансовою вигодою.

Приблизно з 2023 року CoralRaider націлений на людей у ​​різних країнах Азії та Південно-Східної Азії, включаючи Індію, Бангладеш, Китай, В’єтнам, Південну Корею, Індонезію та інші.

Для реалізації своїх схем CoralRaider використовує такі складні інструменти, як RotBot, модифікована версія QuasarRAT і XClient stealer. Крім того, вони використовують техніку під назвою «мертве падіння», використовуючи законні служби для приховування своїх шкідливих файлів, а також незвичайні програми, такі як Forfiles.exe та FoDHelper.exe, щоб уникнути виявлення.

Атака відбувається за простим процесом:

1. Користувач відкриває шкідливий файл ярлика Windows
2. Файл завантажує та виконує файл програми HTML (HTA) із контрольованого зловмисником сервера завантаження
3. HTA активує вбудований сценарій Visual Basic, який виконує сценарій PowerShell у пам’яті
4. Сценарій PowerShell запускає ще 3 сценарії, які обходять елементи керування доступом користувача, виконують перевірку захисту від віртуальної машини та аналізу та вимикають сповіщення Windows
5. Нарешті, він завантажує та запускає RotBot, який завантажує викрадач XClient.

Група використовує XClient для викрадення багатьох типів особистих даних, включаючи облікові записи в соціальних мережах (зокрема ті, що використовуються для бізнесу та реклами), облікові дані та фінансові дані. Потім ці дані використовуються для фінансової вигоди, включаючи продаж іншим зловмисникам.

«Ми знайшли кілька груп Telegram в’єтнамською мовою під назвою «Kiém tien tử Facebook», «Mua Bán Scan MINI» і «Mua Bán Scan Meta». – сказав Cisco Talos. «Моніторинг цих груп виявив, що вони були підпільними ринками, де, серед інших видів діяльності, торгували даними жертв».

Відкриття CoralRaider підкреслює природу кіберзагроз, що постійно розвиваються, особливо щодо фінансових кіберзлочинів. Ця група, зосереджена на крадіжці конфіденційної інформації, становить значний ризик як для окремих осіб, так і для організацій.

• Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
• PlatoData.Network Vertical Generative Ai. Додайте собі сили. Доступ тут.
• PlatoAiStream. Web3 Intelligence. Розширення знань. Доступ тут.
• ПлатонЕСГ. вуглець, CleanTech, Енергія, Навколишнє середовище, Сонячна, Поводження з відходами. Доступ тут.
• PlatoHealth. Розвідка про біотехнології та клінічні випробування. Доступ тут.
• джерело: https://www.safetydetectives.com/news/vietnamese-hackers-strike-coralraider-targets-asian-accounts/