Търсене
Close this search box.

Новопоявила се група за киберпрестъпления, свързана с Виетнам, се е насочила към физически лица и организации в Азия, опитвайки се да открадне информация за акаунти в социални медии и потребителски данни.

CoralRaider, която се появява за първи път в края на 2023 г., разчита до голяма степен на социалното инженерство и законните услуги за ексфилтрация на данни и разработва персонализирани инструменти за зареждане на зловреден софтуер в системите на жертвите. Въпреки това групата е допуснала и някои начинаещи грешки, като например неволно заразяване на собствените си системи, което е разкрило дейността им, заявяват изследователи на заплахи от групата за разузнаване на заплахи Talos на Cisco в нов анализ на CoralRaider.

Макар че Виетнам става все по-активен в кибероперациите, тази група не изглежда да работи с правителството, казва Четан Рагупрасад, технически ръководител на изследванията в областта на сигурността в групата Talos на Cisco.

„Основният приоритет е финансовата печалба и участникът се опитва да превземе бизнес и рекламни акаунти на жертвата в социалните медии“, казва той. „Възможна е и потенциална експозиция за последващи атаки, включително доставяне на друг зловреден софтуер. При нашето проучване не са наблюдавани примери за доставка на други полезни товари.“

Виетнамските участници в заплахите често се фокусират върху социалните медии. Печално известната група OceanLotus – известна също като APT32 – е атакувала други правителства, дисиденти и журналисти в страни от Югоизточна Азия, включително във Виетнам. Свързаната с военните групировка Force 47 – свързана с официалната телевизия на виетнамската армия – редовно се опитва да влияе на групи в социалните медии.

CoralRaider обаче изглежда е свързана по-скоро с мотиви за печалба, отколкото с националистически програми.

„Към този момент нямаме никакви доказателства или информация за признаци, че CoralRaider работи с виетнамското правителство“, казва Рагупрасад.

Според анализа на Cisco кампанията на CoralRaider обикновено започва с файл с пряк път към Windows (.LNK), като често се използва разширение .PDF, за да се заблуди жертвата да отвори файловете. След това нападателите преминават през серия от етапи на атаката си:

  1. Прекият път на Windows изтегля и изпълнява файл с HTML приложение (HTA) от контролиран от нападателя сървър
  2. HTA файлът изпълнява вграден Visual Basic скрипт
  3. Скриптът VB изпълнява скрипт PowerShell, който след това изпълнява още три скрипта PowerShell, включително серия от антианалитични проверки, за да се открие дали инструментът се изпълнява във виртуална машина, заобикаляне на контрола на потребителския достъп на системата и код, който деактивира всички известия за потребителя.
  4. Финалният скрипт стартира RotBot, зареждащ модул, който извършва заобикаляне на откриването, извършва разузнаване на системата и изтегля конфигурационен файл
  5. След това RotBot обикновено изтегля XClient, който събира различни потребителски данни от системата, включително данни за акаунти в социални медии

В допълнение към идентификационните данни XClient краде и данни от браузъра, информация за сметки на кредитни карти и други финансови данни. И накрая, XClient прави скрийншот на работния плот на жертвата и го качва.

Междувременно изследователите казват, че има индикации, че нападателите са се насочили и към лица във Виетнам.

„Функцията за кражба [XClient] съпоставя откраднатата информация на жертвата с твърдо кодирани виетнамски думи и ги записва в текстов файл във временната папка на машината на жертвата преди ексфилтрацията“, се посочва в анализа. „Един пример за функция, който наблюдавахме, се използва за кражба на акаунта на жертвата във Facebook Ads, който има твърдо кодирани с виетнамски думи за права на акаунта, праг, изразходвани средства, часова зона и дата на създаване.“

Прострелват се в крака

Групата CoralRaider е използвала автоматизиран бот в услугата Telegram като канал за командване и контрол, както и за ексфилтриране на данни от системите на жертвите. Изглежда обаче, че киберпрестъпната група е заразила една от собствените си машини, защото изследователите на Cisco откриха скрийншоти на информацията, публикувана в канала.

„Анализирайки изображенията на работния плот в бота Telegram, открихме няколко групи в Telegram на виетнамски език с имена „Kiém tien tử Facebook“, „Mua Bán Scan MINI“ и „Mua Bán Scan Meta“ – се посочва в анализа на Cisco Talos. „Мониторингът на тези групи разкри, че те са нелегални пазари, на които, наред с други дейности, се търгува с данни на жертви.“

Появата на CoralRaider на сцената на киберзаплахите не е изненадваща: Виетнам в момента е изправен пред увеличаване на заплахите от зловреден софтуер за кражба на сметки, казва Сакши Гроувър, мениджър проучвания в групата за услуги за киберсигурност на IDC за региона на Азия и Тихия океан.

„Въпреки че в миналото Виетнам е бил по-малко свързан с киберпрестъпността в сравнение с други азиатски държави, бързото възприемане на цифровите технологии го направи по-податлив на киберзаплахи“, казва тя. „Усъвършенстваните постоянни заплахи (APT) все по-често се насочват към правителствени организации, критична инфраструктура и предприятия, като използват сложни техники като персонализиран зловреден софтуер и социално инженерство, за да проникнат в системите и да откраднат чувствителни данни.“

Тъй като икономическите условия във Виетнам варират – в някои райони възможностите за работа са ограничени, което води до ниски заплати за висококвалифицирани длъжности – хората могат да бъдат стимулирани да участват в киберпрестъпления, за да печелят пари, казва Гроувър.

Източник: DARKReading

Подобни публикации

11 октомври 2024

Новата актуализация на GitLab отстранява осем у...

В четвъртък (В България петък през нощта) GitLab обяви нов кръг от ...
11 октомври 2024

Атаките LotL: Предизвикателството и WatchGuard ...

В областта на киберсигурността все по-трудно се откриват атаки от т...
11 октомври 2024

Киберсигурността - стълбът за защита на нашия свят

Октомври е не само първият месец на есента, но и Месецът на киберси...
11 октомври 2024

31 милиона потребители са засегнати от хакерска...

Интернет архивът потвърди, че е бил хакнат и е претърпял нарушение ...
11 октомври 2024

LLM с изкуствен интелект, подобряващи лова на з...

Стартъпът за киберсигурност Simbian пусна на пазара три AI агента L...
11 октомври 2024

Предизвикателствата в областта на сигурността п...

Какви са приоритетите на CISO и лидерите по сигурността в сравнение...
10 октомври 2024

Какво е Command Prompt, какво е Terminal и кое ...

Чували ли сте някога за Command Prompt на Windows? Или Terminal на ...
10 октомври 2024

Нов проект на Google има за цел да се превърне ...

Днес Google обяви старта на Глобалния обмен на сигнали (GSE) –...
Бъдете социални
Още по темата
11/10/2024

Предизвикателствата в облас...

Какви са приоритетите на CISO и...
10/10/2024

Атаката на American Water п...

Кибератака продължава да засяга най-голямата регулирана...
09/10/2024

American Water претърпява с...

Най-голямото публично търгувано дружество за водоснабдяване...
Последно добавени
11/10/2024

Новата актуализация на GitL...

В четвъртък (В България петък през...
11/10/2024

Атаките LotL: Предизвикател...

В областта на киберсигурността все по-трудно...
11/10/2024

Киберсигурността - стълбът ...

Октомври е не само първият месец...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!