Новопоявила се група за киберпрестъпления, свързана с Виетнам, се е насочила към физически лица и организации в Азия, опитвайки се да открадне информация за акаунти в социални медии и потребителски данни.
CoralRaider, която се появява за първи път в края на 2023 г., разчита до голяма степен на социалното инженерство и законните услуги за ексфилтрация на данни и разработва персонализирани инструменти за зареждане на зловреден софтуер в системите на жертвите. Въпреки това групата е допуснала и някои начинаещи грешки, като например неволно заразяване на собствените си системи, което е разкрило дейността им, заявяват изследователи на заплахи от групата за разузнаване на заплахи Talos на Cisco в нов анализ на CoralRaider.
Макар че Виетнам става все по-активен в кибероперациите, тази група не изглежда да работи с правителството, казва Четан Рагупрасад, технически ръководител на изследванията в областта на сигурността в групата Talos на Cisco.
„Основният приоритет е финансовата печалба и участникът се опитва да превземе бизнес и рекламни акаунти на жертвата в социалните медии“, казва той. „Възможна е и потенциална експозиция за последващи атаки, включително доставяне на друг зловреден софтуер. При нашето проучване не са наблюдавани примери за доставка на други полезни товари.“
Виетнамските участници в заплахите често се фокусират върху социалните медии. Печално известната група OceanLotus – известна също като APT32 – е атакувала други правителства, дисиденти и журналисти в страни от Югоизточна Азия, включително във Виетнам. Свързаната с военните групировка Force 47 – свързана с официалната телевизия на виетнамската армия – редовно се опитва да влияе на групи в социалните медии.
CoralRaider обаче изглежда е свързана по-скоро с мотиви за печалба, отколкото с националистически програми.
„Към този момент нямаме никакви доказателства или информация за признаци, че CoralRaider работи с виетнамското правителство“, казва Рагупрасад.
Според анализа на Cisco кампанията на CoralRaider обикновено започва с файл с пряк път към Windows (.LNK), като често се използва разширение .PDF, за да се заблуди жертвата да отвори файловете. След това нападателите преминават през серия от етапи на атаката си:
В допълнение към идентификационните данни XClient краде и данни от браузъра, информация за сметки на кредитни карти и други финансови данни. И накрая, XClient прави скрийншот на работния плот на жертвата и го качва.
Междувременно изследователите казват, че има индикации, че нападателите са се насочили и към лица във Виетнам.
„Функцията за кражба [XClient] съпоставя откраднатата информация на жертвата с твърдо кодирани виетнамски думи и ги записва в текстов файл във временната папка на машината на жертвата преди ексфилтрацията“, се посочва в анализа. „Един пример за функция, който наблюдавахме, се използва за кражба на акаунта на жертвата във Facebook Ads, който има твърдо кодирани с виетнамски думи за права на акаунта, праг, изразходвани средства, часова зона и дата на създаване.“
Групата CoralRaider е използвала автоматизиран бот в услугата Telegram като канал за командване и контрол, както и за ексфилтриране на данни от системите на жертвите. Изглежда обаче, че киберпрестъпната група е заразила една от собствените си машини, защото изследователите на Cisco откриха скрийншоти на информацията, публикувана в канала.
„Анализирайки изображенията на работния плот в бота Telegram, открихме няколко групи в Telegram на виетнамски език с имена „Kiém tien tử Facebook“, „Mua Bán Scan MINI“ и „Mua Bán Scan Meta“ – се посочва в анализа на Cisco Talos. „Мониторингът на тези групи разкри, че те са нелегални пазари, на които, наред с други дейности, се търгува с данни на жертви.“
Появата на CoralRaider на сцената на киберзаплахите не е изненадваща: Виетнам в момента е изправен пред увеличаване на заплахите от зловреден софтуер за кражба на сметки, казва Сакши Гроувър, мениджър проучвания в групата за услуги за киберсигурност на IDC за региона на Азия и Тихия океан.
„Въпреки че в миналото Виетнам е бил по-малко свързан с киберпрестъпността в сравнение с други азиатски държави, бързото възприемане на цифровите технологии го направи по-податлив на киберзаплахи“, казва тя. „Усъвършенстваните постоянни заплахи (APT) все по-често се насочват към правителствени организации, критична инфраструктура и предприятия, като използват сложни техники като персонализиран зловреден софтуер и социално инженерство, за да проникнат в системите и да откраднат чувствителни данни.“
Тъй като икономическите условия във Виетнам варират – в някои райони възможностите за работа са ограничени, което води до ниски заплати за висококвалифицирани длъжности – хората могат да бъдат стимулирани да участват в киберпрестъпления, за да печелят пари, казва Гроувър.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.