Μια νεοεισερχόμενη ομάδα εγκλήματος στον κυβερνοχώρο που συνδέεται με το Βιετνάμ έχει βάλει στο στόχαστρο άτομα και οργανισμούς στην Ασία, επιχειρώντας να κλέψει πληροφορίες λογαριασμού κοινωνικών μέσων και δεδομένα χρηστών.

Το CoralRaider, το οποίο εμφανίστηκε για πρώτη φορά στα τέλη του 2023, βασίζεται σε μεγάλο βαθμό στην κοινωνική μηχανική και τις νόμιμες υπηρεσίες για τη διείσδυση δεδομένων και αναπτύσσει προσαρμοσμένα εργαλεία για τη φόρτωση κακόβουλου λογισμικού σε συστήματα θυμάτων. Ωστόσο, η ομάδα έχει κάνει επίσης κάποια λάθη πρωτάρης, όπως η ακούσια μόλυνση των δικών της συστημάτων, τα οποία αποκάλυψαν τις δραστηριότητές τους, δήλωσαν ερευνητές απειλών της ομάδας πληροφοριών απειλών Talos της Cisco σε μια νέα ανάλυση στο CoralRaider.

Ενώ το Βιετνάμ έχει γίνει ολοένα και πιο ενεργό στις επιχειρήσεις στον κυβερνοχώρο, αυτή η ομάδα δεν φαίνεται να συνεργάζεται με την κυβέρνηση, λέει ο Chetan Raghuprasad, τεχνικός επικεφαλής της έρευνας ασφάλειας για τον όμιλο Talos της Cisco.

«Η κύρια προτεραιότητα είναι το οικονομικό κέρδος και ο ηθοποιός επιχειρεί να κλέψει τις επιχειρήσεις κοινωνικής δικτύωσης και τους διαφημιστικούς λογαριασμούς του θύματος», λέει. «Η πιθανή έκθεση για επακόλουθες επιθέσεις, συμπεριλαμβανομένης της παράδοσης άλλου κακόβουλου λογισμικού, είναι επίσης δυνατή. Η έρευνά μας δεν έχει δει παραδείγματα άλλων ωφέλιμων φορτίων που παραδίδονται.»

Οι παράγοντες της απειλής του Βιετνάμ επικεντρώνονται συχνά στα μέσα κοινωνικής δικτύωσης. ο η διαβόητη ομάδα OceanLotus — επίσης γνωστό ως APT32 — έχει επιτεθεί σε άλλες κυβερνήσεις, αντιφρονούντες και δημοσιογράφους σε χώρες της Νοτιοανατολικής Ασίας, συμπεριλαμβανομένου του Βιετνάμ. Μια στρατιωτική ομάδα, η Force 47 — που συνδέεται με τον επίσημο τηλεοπτικό σταθμό του Βιετναμέζικου στρατού — προσπαθεί τακτικά να επηρεάσει ομάδες μέσων κοινωνικής δικτύωσης.

Το CoralRaider, ωστόσο, φαίνεται να συνδέεται με κίνητρα κέρδους και όχι με εθνικιστικές ατζέντες.

«Αυτή τη στιγμή, δεν έχουμε στοιχεία ή πληροφορίες για σημάδια συνεργασίας του CoralRaider με την κυβέρνηση του Βιετνάμ», λέει ο Raghuprasad.

Αλυσίδα λοίμωξης πολλαπλών σταδίων

Μια καμπάνια CoralRaider ξεκινά συνήθως με ένα αρχείο συντόμευσης των Windows (.LNK), που συχνά χρησιμοποιεί μια επέκταση .PDF σε μια προσπάθεια να ξεγελάσει το θύμα να ανοίξει τα αρχεία. σύμφωνα με την ανάλυση της Cisco. Μετά από αυτό, οι επιτιθέμενοι περνούν από μια σειρά από στάδια στην επίθεσή τους:

Εκτός από τα διαπιστευτήρια, το XClient κλέβει επίσης δεδομένα προγράμματος περιήγησης, πληροφορίες λογαριασμού πιστωτικής κάρτας και άλλα οικονομικά δεδομένα. Και τέλος, το XClient παίρνει ένα στιγμιότυπο οθόνης από την επιφάνεια εργασίας του θύματος και το ανεβάζει.

Εν τω μεταξύ, οι ερευνητές λένε ότι υπάρχουν ενδείξεις ότι οι επιτιθέμενοι είχαν στοχεύσει άτομα και στο Βιετνάμ.

«Η συνάρτηση κλοπής [XClient] αντιστοιχίζει τις πληροφορίες του κλεμμένου θύματος σε βιετναμέζικες λέξεις και τις γράφει σε ένα αρχείο κειμένου στον προσωρινό φάκελο του μηχανήματος του θύματος πριν από την εξαγωγή», ανέφερε η ανάλυση. "Ένα παράδειγμα συνάρτησης που παρατηρήσαμε χρησιμοποιείται για την κλοπή του λογαριασμού Facebook Ads του θύματος που έχει κωδικοποιηθεί με βιετναμέζικες λέξεις για δικαιώματα λογαριασμού, Όριο, Δαπάνη, Ζώνη ώρας και Ημερομηνία δημιουργίας."

Η ομάδα CoralRaider χρησιμοποίησε ένα αυτοματοποιημένο bot στην υπηρεσία Telegram ως κανάλι εντολών και ελέγχου, καθώς και για την εξαγωγή δεδομένων από τα συστήματα των θυμάτων. Ωστόσο, η ομάδα του κυβερνοεγκλήματος φαίνεται να έχει μολύνει έναν από τους δικούς της μηχανές, επειδή οι ερευνητές της Cisco ανακάλυψαν στιγμιότυπα οθόνης των πληροφοριών που δημοσιεύτηκαν στο κανάλι.

«Αναλύοντας τις εικόνες του Desktop του ηθοποιού στο bot Telegram, βρήκαμε μερικές ομάδες Telegram στα βιετναμέζικα με το όνομα «Kiém tien tử Facebook, «Mua Bán Scan MINI» και «Mua Bán Scan Meta»», δήλωσε ο Cisco Talos στην ανάλυση. . «Η παρακολούθηση αυτών των ομάδων αποκάλυψε ότι ήταν υπόγειες αγορές όπου, μεταξύ άλλων δραστηριοτήτων, διακινούνταν και δεδομένα θυμάτων».

Η άφιξη του CoralRaider στη σκηνή απειλών στον κυβερνοχώρο δεν προκαλεί έκπληξη: το Βιετνάμ αντιμετωπίζει αυτήν τη στιγμή μια αύξηση των απειλών από κακόβουλο λογισμικό κλοπής λογαριασμών, λέει ο Sakshi Grover, διευθυντής έρευνας στην ομάδα Υπηρεσιών Cybersecurity της IDC για την περιοχή Ασίας/Ειρηνικού.

«Αν και ιστορικά σχετίζεται λιγότερο με το έγκλημα στον κυβερνοχώρο σε σύγκριση με άλλα ασιατικά έθνη, η ταχεία υιοθέτηση ψηφιακών τεχνολογιών από το Βιετνάμ το έχει καταστήσει πιο ευάλωτο σε απειλές στον κυβερνοχώρο», λέει. «Οι προηγμένες επίμονες απειλές (APT) στοχεύουν όλο και περισσότερο κυβερνητικές οντότητες, κρίσιμες υποδομές και επιχειρήσεις, χρησιμοποιώντας εξελιγμένες τεχνικές όπως προσαρμοσμένο κακόβουλο λογισμικό και κοινωνική μηχανική για να διεισδύσουν σε συστήματα και να κλέψουν ευαίσθητα δεδομένα».

Επειδή οι οικονομικές συνθήκες ποικίλλουν στο Βιετνάμ - με ορισμένες περιοχές να αντιμετωπίζουν περιορισμένες ευκαιρίες απασχόλησης, με αποτέλεσμα χαμηλούς μισθούς για ρόλους υψηλής εξειδίκευσης - τα άτομα μπορούν να παρακινηθούν να εμπλακούν σε έγκλημα στον κυβερνοχώρο για να κερδίσουν χρήματα, λέει ο Grover.

• SEO Powered Content & PR Distribution. Ενισχύστε σήμερα.
• PlatoData.Network Vertical Generative Ai. Ενδυναμώστε τον εαυτό σας. Πρόσβαση εδώ.
• PlatoAiStream. Web3 Intelligence. Ενισχύθηκε η γνώση. Πρόσβαση εδώ.
• PlatoESG. Ανθρακας, Cleantech, Ενέργεια, Περιβάλλον, Ηλιακός, Διαχείριση των αποβλήτων. Πρόσβαση εδώ.
• PlatoHealth. Ευφυΐα βιοτεχνολογίας και κλινικών δοκιμών. Πρόσβαση εδώ.
• πηγή: https://www.darkreading.com/vulnerabilities-threats/vietnamese-cybercrime-group-coralraider-nets-financial-data