一个与越南有关的新网络犯罪组织以亚洲的个人和组织为目标,试图窃取社交媒体帐户信息和用户数据。
CoralRaider 于 2023 年底首次出现,严重依赖社会工程和合法服务进行数据泄露,并开发了用于将恶意软件加载到受害者系统的自定义工具。然而,思科 Talos 威胁情报小组的威胁研究人员在 CoralRaider 的最新分析中指出,该组织也犯了一些新手错误,例如无意中感染了自己的系统,从而暴露了他们的活动。
思科 Talos 小组安全研究技术负责人 Chetan Raghuprasad 表示,虽然越南在网络行动方面变得越来越活跃,但该小组似乎并未与政府合作。
“主要优先考虑的是经济利益,攻击者正试图劫持受害者的社交媒体业务和广告帐户,”他说。 “也有可能遭受后续攻击,包括传播其他恶意软件。我们的研究尚未发现任何其他有效载荷被交付的例子。”
越南威胁行为者经常关注社交媒体。这 臭名昭著的海莲花集团 — 也称为 APT32 — 攻击了包括越南在内的东南亚国家的其他政府、持不同政见者和记者。一个与军事相关的组织,Force 47——与越南军队的官方电视台有联系—— 经常尝试影响社交媒体群体.
然而,CoralRaider 似乎与利润动机有关,而不是民族主义议程。
“目前,我们没有任何证据或信息表明 CoralRaider 与越南政府合作,”Raghuprasad 说。
多级感染链
CoralRaider 活动通常以 Windows 快捷方式 (.LNK) 文件开始,通常使用 .PDF 扩展名,试图欺骗受害者打开文件, 根据思科的分析。接下来,攻击者的攻击会经历一系列阶段:
-
Windows 快捷方式从攻击者控制的服务器下载并执行 HTML 应用程序 (HTA) 文件
-
HTA 文件执行嵌入的 Visual Basic 脚本
-
VB 脚本执行一个 PowerShell 脚本,该脚本随后运行另外三个 PowerShell 脚本,包括一系列反分析检查以检测该工具是否在虚拟机中运行、绕过系统的用户访问控制以及禁用任何通知的代码给用户
-
最终脚本运行 RotBot,这是一个执行检测规避的加载程序,对系统进行侦察并下载配置文件
-
然后,RotBot 通常会下载 XClient,它从系统收集各种用户数据,包括社交媒体帐户凭据
除了凭据之外,XClient 还窃取浏览器数据、信用卡帐户信息和其他财务数据。最后,XClient 截取受害者桌面的屏幕截图并上传。
与此同时,研究人员表示,有迹象表明袭击者还针对越南境内的个人。
分析称:“[XClient] 窃取程序功能将被盗受害者的信息映射为硬编码的越南语单词,并在渗漏之前将其写入受害者计算机临时文件夹中的文本文件中。” “我们观察到的一个示例功能是用来窃取受害者的 Facebook 广告帐户,该帐户已用越南语硬编码了帐户权限、阈值、花费、时区和创建日期。”
CoralRaider 组织使用 Telegram 服务上的自动化机器人作为命令和控制通道,并从受害者的系统中窃取数据。然而,网络犯罪组织似乎已经感染了他们自己的一台机器,因为思科研究人员发现了发布到该频道的信息的屏幕截图。
思科 Talos 在分析中表示:“通过分析 Telegram 机器人上演员桌面的图像,我们发现了一些越南语的 Telegram 群组,名为‘Kiém tien tử Facebook’、‘Mua Bán Scan MINI’和‘Mua Bán Scan Meta’。” 。 “对这些团体的监控显示,他们是地下市场,除了其他活动外,受害者数据也被交易。”
CoralRaider 出现在网络威胁领域并不令人意外:IDC 亚太地区网络安全服务小组研究经理 Sakshi Grover 表示,越南目前面临着越来越多的帐户窃取恶意软件威胁。
“虽然与其他亚洲国家相比,越南历史上与网络犯罪的联系较少,但数字技术的快速采用使其更容易受到网络威胁,”她说。 “高级持续性威胁 (APT) 越来越多地针对政府实体、关键基础设施和企业,利用定制恶意软件和社会工程等复杂技术来渗透系统并窃取敏感数据。”
格罗弗说,由于越南各地的经济状况各不相同,一些地区的就业机会有限,导致高技能职位的工资较低,因此个人可能会被激励参与网络犯罪以赚钱。
- :具有
- :是
- :不是
- :在哪里
- 10
- 11
- 13
- 2023
- 7
- 8
- 9
- a
- ACCESS
- 账号管理
- 账户
- 横过
- 要积极。
- 活动
- 演员
- 增加
- 采用
- 广告
- 高级
- 还
- 其中
- an
- 分析
- 分析
- 和
- 任何
- 出现
- 出现
- 出现
- 应用领域
- 保健
- 地区
- 军队
- 到来
- AS
- 亚洲
- 亚洲的
- 相关
- At
- 攻击
- 攻击
- 尝试
- 尝试
- 尝试
- 自动化
- 基本包
- BE
- 因为
- 成为
- before
- 作为
- 博特
- 浏览器
- 商业
- 企业
- 绕行
- 营销活动
- CAN
- 卡
- 链
- 渠道
- 支票
- 圆
- 思科
- 码
- 收集
- 相比
- 条件
- 行为
- 配置
- 已联繫
- 控制
- 国家
- 创建
- 资历
- 信用
- 信用卡
- 危急
- 关键基础设施
- 目前
- 习俗
- 网络
- 网络犯罪
- 网络犯罪
- 网络安全
- data
- 日期
- 提升
- 交付
- 通过电脑捐款
- 检测
- 检测
- 发展
- 数字
- 数字技术
- 发现
- do
- 不
- 下载
- 经济
- 经济情况
- 嵌入式
- 从事
- 工程师
- 实体
- 逃税
- 证据
- 例子
- 例子
- 执行
- 渗出
- 经历
- 裸露
- 曝光
- 延期
- Facebook的广告
- 面对
- 少数
- 文件
- 档
- 金融
- 财务数据
- 姓氏:
- 专注焦点
- 以下
- 针对
- 力
- 发现
- 频繁
- 止
- 功能
- Gain增益
- 政府
- 政府实体
- 各国政府
- 团队
- 组的
- 格罗弗
- 民政事务总署
- 有
- he
- 严重
- 高度
- 劫持
- 历史
- 但是
- HTML
- HTTPS
- ICON
- IDC
- if
- 图片
- in
- 不经意间
- 诱因
- 包含
- 增加
- 日益
- 适应症
- 个人
- 感染
- 影响
- 信息
- 基础设施
- ING
- 房源搜索
- 成
- IT
- 工作
- 记者
- JPEG
- 已知
- 最后
- 晚了
- 领导者
- 合法
- 减
- 喜欢
- 有限
- 链接
- 装载机
- 装载
- 低
- 机
- 机
- 制成
- 主要
- 使
- 赚钱
- 恶意软件
- 经理
- 地图
- 市场
- 媒体
- 元
- 错误
- 时刻
- 钱
- 监控
- 更多
- 移动
- 命名
- 联合国
- 篮网
- 全新
- 新人
- 通知
- of
- 官方
- 经常
- on
- 一
- 到
- 开放
- 运营
- 机会
- or
- 组织
- 其他名称
- 我们的
- 己
- 施行
- 柏拉图
- 柏拉图数据智能
- 柏拉图数据
- 可能
- 发布
- 潜力
- PowerShell的
- 优先
- 利润
- 快
- 宁
- 地区
- 依赖
- 研究
- 研究人员
- 导致
- 路透社
- 揭密
- 权利
- 角色
- 运行
- 运行
- s
- 对工资盗窃
- 说
- 浏览
- 现场
- 截图
- 脚本
- 脚本
- 保安
- 看到
- 敏感
- 系列
- 服务
- 特色服务
- 她
- 迹象
- 技能的
- 社会
- 社会工程学
- 社会化媒体
- 一些
- 极致
- 东南
- 花费
- 实习
- 启动
- 说
- 站
- 偷
- 抢断
- 被盗
- 这样
- 奇怪
- 易感
- 系统
- 产品
- 需要
- 塔洛斯
- 针对
- 瞄准
- 文案
- 技术
- 技术
- Telegram
- 电视
- 临时
- 文本
- 比
- 这
- 信息
- 其
- 他们
- 然后
- 那里。
- 博曼
- 他们
- Free Introduction
- 威胁
- 威胁者
- 威胁
- 三
- 门槛
- 通过
- 次
- 至
- 工具
- 工具
- 交易
- 一般
- 地下
- 用过的
- 用户
- 运用
- 利用
- 各种
- 变化
- 受害者
- 受害者
- 越南
- 越南
- 在线会议
- 虚拟机
- 视觉
- 工资
- 是
- we
- 井
- 为
- 这
- 而
- 窗户
- 话
- 加工
- 但
- 和风网
- 区