Търсене
Close this search box.

Виетнамската група за киберпрестъпления CoralRaider набира финансови данни

Новопоявила се група за киберпрестъпления, свързана с Виетнам, се е насочила към физически лица и организации в Азия, опитвайки се да открадне информация за акаунти в социални медии и потребителски данни.

CoralRaider, която се появява за първи път в края на 2023 г., разчита до голяма степен на социалното инженерство и законните услуги за ексфилтрация на данни и разработва персонализирани инструменти за зареждане на зловреден софтуер в системите на жертвите. Въпреки това групата е допуснала и някои начинаещи грешки, като например неволно заразяване на собствените си системи, което е разкрило дейността им, заявяват изследователи на заплахи от групата за разузнаване на заплахи Talos на Cisco в нов анализ на CoralRaider.

Макар че Виетнам става все по-активен в кибероперациите, тази група не изглежда да работи с правителството, казва Четан Рагупрасад, технически ръководител на изследванията в областта на сигурността в групата Talos на Cisco.

„Основният приоритет е финансовата печалба и участникът се опитва да превземе бизнес и рекламни акаунти на жертвата в социалните медии“, казва той. „Възможна е и потенциална експозиция за последващи атаки, включително доставяне на друг зловреден софтуер. При нашето проучване не са наблюдавани примери за доставка на други полезни товари.“

Виетнамските участници в заплахите често се фокусират върху социалните медии. Печално известната група OceanLotus – известна също като APT32 – е атакувала други правителства, дисиденти и журналисти в страни от Югоизточна Азия, включително във Виетнам. Свързаната с военните групировка Force 47 – свързана с официалната телевизия на виетнамската армия – редовно се опитва да влияе на групи в социалните медии.

CoralRaider обаче изглежда е свързана по-скоро с мотиви за печалба, отколкото с националистически програми.

„Към този момент нямаме никакви доказателства или информация за признаци, че CoralRaider работи с виетнамското правителство“, казва Рагупрасад.

Според анализа на Cisco кампанията на CoralRaider обикновено започва с файл с пряк път към Windows (.LNK), като често се използва разширение .PDF, за да се заблуди жертвата да отвори файловете. След това нападателите преминават през серия от етапи на атаката си:

  1. Прекият път на Windows изтегля и изпълнява файл с HTML приложение (HTA) от контролиран от нападателя сървър
  2. HTA файлът изпълнява вграден Visual Basic скрипт
  3. Скриптът VB изпълнява скрипт PowerShell, който след това изпълнява още три скрипта PowerShell, включително серия от антианалитични проверки, за да се открие дали инструментът се изпълнява във виртуална машина, заобикаляне на контрола на потребителския достъп на системата и код, който деактивира всички известия за потребителя.
  4. Финалният скрипт стартира RotBot, зареждащ модул, който извършва заобикаляне на откриването, извършва разузнаване на системата и изтегля конфигурационен файл
  5. След това RotBot обикновено изтегля XClient, който събира различни потребителски данни от системата, включително данни за акаунти в социални медии

В допълнение към идентификационните данни XClient краде и данни от браузъра, информация за сметки на кредитни карти и други финансови данни. И накрая, XClient прави скрийншот на работния плот на жертвата и го качва.

Междувременно изследователите казват, че има индикации, че нападателите са се насочили и към лица във Виетнам.

„Функцията за кражба [XClient] съпоставя откраднатата информация на жертвата с твърдо кодирани виетнамски думи и ги записва в текстов файл във временната папка на машината на жертвата преди ексфилтрацията“, се посочва в анализа. „Един пример за функция, който наблюдавахме, се използва за кражба на акаунта на жертвата във Facebook Ads, който има твърдо кодирани с виетнамски думи за права на акаунта, праг, изразходвани средства, часова зона и дата на създаване.“

Прострелват се в крака

Групата CoralRaider е използвала автоматизиран бот в услугата Telegram като канал за командване и контрол, както и за ексфилтриране на данни от системите на жертвите. Изглежда обаче, че киберпрестъпната група е заразила една от собствените си машини, защото изследователите на Cisco откриха скрийншоти на информацията, публикувана в канала.

„Анализирайки изображенията на работния плот в бота Telegram, открихме няколко групи в Telegram на виетнамски език с имена „Kiém tien tử Facebook“, „Mua Bán Scan MINI“ и „Mua Bán Scan Meta“ – се посочва в анализа на Cisco Talos. „Мониторингът на тези групи разкри, че те са нелегални пазари, на които, наред с други дейности, се търгува с данни на жертви.“

Появата на CoralRaider на сцената на киберзаплахите не е изненадваща: Виетнам в момента е изправен пред увеличаване на заплахите от зловреден софтуер за кражба на сметки, казва Сакши Гроувър, мениджър проучвания в групата за услуги за киберсигурност на IDC за региона на Азия и Тихия океан.

„Въпреки че в миналото Виетнам е бил по-малко свързан с киберпрестъпността в сравнение с други азиатски държави, бързото възприемане на цифровите технологии го направи по-податлив на киберзаплахи“, казва тя. „Усъвършенстваните постоянни заплахи (APT) все по-често се насочват към правителствени организации, критична инфраструктура и предприятия, като използват сложни техники като персонализиран зловреден софтуер и социално инженерство, за да проникнат в системите и да откраднат чувствителни данни.“

Тъй като икономическите условия във Виетнам варират – в някои райони възможностите за работа са ограничени, което води до ниски заплати за висококвалифицирани длъжности – хората могат да бъдат стимулирани да участват в киберпрестъпления, за да печелят пари, казва Гроувър.

Източник: DARKReading

Подобни публикации

18 юни 2024

Koсмосът: Последната граница за кибератаки

Неспособността да си представим – и да се подготвим за –...
18 юни 2024

Лондонските болници още не могат да се съвземат...

Няколко лондонски болници, които все още не са се справили с кибера...
17 юни 2024

Арестуваха британец от Scattered Spider

22-годишен британски гражданин, за когото се предполага, че е свърз...
17 юни 2024

Adobe с вътрешни проблеми на фона на опасения, ...

Adobe гаси пожар на два фронта заради политиката си за използване н...
17 юни 2024

Потребностите от електроенергия в центровете за...

Новото партньорство на Google с базираната в Невада компания NV Ene...
17 юни 2024

Microsoft поправи безкликова уязвимост в Outlook

Morphisec предупреждава, че една от уязвимостите, които Microsoft о...
Бъдете социални
Още по темата
18/06/2024

Koсмосът: Последната границ...

Неспособността да си представим – и...
18/06/2024

Лондонските болници още не ...

Няколко лондонски болници, които все още...
15/06/2024

Наследените технологии преч...

Според ново проучване остарелите наследени технологии...
Последно добавени
18/06/2024

Koсмосът: Последната границ...

Неспособността да си представим – и...
18/06/2024

Лондонските болници още не ...

Няколко лондонски болници, които все още...
17/06/2024

Арестуваха британец от Scat...

22-годишен британски гражданин, за когото се...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!