佩吉·亨利
总部位于马里兰州的网络安全技术和信息安全公司 Cisco Talos 最近发现了一种名为“CoralRaider”的新网络威胁,据信该威胁源自越南并受到经济利益驱动。
自 2023 年左右以来,CoralRaider 一直瞄准亚洲和东南亚各个国家的个人,包括印度、孟加拉国、中国、越南、韩国、印度尼西亚等。
为了实施他们的计划,CoralRaider 使用了复杂的工具,例如 RotBot、QuasarRAT 的修改版本和 XClient 窃取程序。此外,他们还利用一种名为“dead drop”的技术,使用合法服务隐藏其恶意文件,并使用 Forfiles.exe 和 FoDHelper.exe 等不常见程序来逃避检测。
攻击遵循一个简单的过程:
- 用户打开恶意Windows快捷方式文件
- 该文件从攻击者控制的下载服务器下载并执行 HTML 应用程序文件 (HTA)
- HTA 激活嵌入的 Visual Basic 脚本,该脚本在内存中执行 PowerShell 脚本
- PowerShell 脚本发起了另外 3 项绕过用户访问控制、执行反虚拟机和反分析检查并禁用 Windows 通知的活动
- 最后,它下载并运行 RotBot,从而加载 XClient 窃取程序。
该组织使用 XClient 窃取多种类型的个人数据,包括社交媒体帐户(包括用于商业和广告的帐户)、凭证和财务数据。然后,这些数据将被用于获取经济利益,包括出售给其他不良行为者。
“我们发现了一些越南语 Telegram 群组,名为“Kiém tien tử Facebook”、“Mua Bán Scan MINI”和“Mua Bán Scan Meta”。 ”思科塔洛斯说道。 “对这些团体的监控显示,他们是地下市场,除了其他活动外,受害者数据也被交易。”
CoralRaider 的发现凸显了网络威胁不断演变的性质,特别是与金融网络犯罪有关的威胁。该组织专注于窃取敏感信息,给个人和组织带来重大风险。
- :具有
- :是
- :在哪里
- 1
- 2023
- 40
- a
- ACCESS
- 账户
- 横过
- 活动
- 演员
- 另外
- 广告
- 一样
- 沿
- 其中
- an
- 和
- 应用领域
- 围绕
- AS
- 亚洲的
- 攻击
- 头像
- 坏
- 孟加拉国
- 基于
- 基本包
- BE
- 很
- 相信
- 商业
- by
- 绕行
- 被称为
- 携带
- 支票
- 中国
- 思科
- 公司
- 隐藏
- 关于
- 控制
- 国家
- 资历
- 网络
- 网络犯罪
- 网络安全
- data
- 检测
- 发现
- 下载
- 下载
- 驱动
- 下降
- 配音
- 嵌入式
- 员工
- 逃脱
- 执行
- 少数
- 文件
- 档
- 金融
- 财务数据
- 专注焦点
- 如下
- 针对
- 发现
- 止
- Gain增益
- 团队
- 组的
- 黑客
- 亨利
- 亮点
- HTML
- HTTPS
- in
- 包含
- 印度
- 个人
- 印度尼西亚
- 信息
- 信息安全
- 项目
- IT
- 韩国
- 合法
- 喜欢
- 负载
- 恶意
- 许多
- 市场
- 马里兰州
- 媒体
- 元
- 改性
- 命名
- 自然
- 全新
- of
- on
- 打开
- 组织
- 其他名称
- 其它
- 输出
- 尤其
- 演出
- 个人
- 个人资料
- 柏拉图
- 柏拉图数据智能
- 柏拉图数据
- 构成
- PowerShell的
- 过程
- 训练课程
- 最近
- 揭密
- 风险
- 运行
- 说
- 盐
- 浏览
- 方案
- 脚本
- 保安
- 敏感
- 特色服务
- 显著
- 简易
- 社会
- 社会化媒体
- 极致
- 南部
- South Korea
- 东南
- 偷
- 罢工
- 这样
- 塔洛斯
- 瞄准
- 目标
- 技术
- 专业技术
- Telegram
- 这
- 其
- 然后
- 博曼
- 他们
- Free Introduction
- 那些
- 威胁
- 威胁
- 至
- 工具
- 交易
- 类型
- 罕见
- 裸露
- 地下
- 用过的
- 用户
- 使用
- 运用
- 利用
- 各个
- 版本
- 受害者
- 越南
- 越南
- 视觉
- 是
- 网页
- 为
- 这
- 窗户
- 和风网