Un nuovo gruppo di criminalità informatica legato al Vietnam ha preso di mira individui e organizzazioni in Asia, tentando di rubare informazioni sugli account dei social media e dati degli utenti.

CoralRaider, apparso per la prima volta alla fine del 2023, fa molto affidamento sull'ingegneria sociale e su servizi legittimi per l'esfiltrazione dei dati e sviluppa strumenti personalizzati per caricare malware sui sistemi delle vittime. Tuttavia il gruppo ha anche commesso alcuni errori da principianti, come inavvertitamente infettare i propri sistemi, cosa che ha messo in luce le loro attività, hanno affermato i ricercatori sulle minacce del gruppo di intelligence sulle minacce Talos di Cisco in una nuova analisi su CoralRaider.

Sebbene il Vietnam sia diventato sempre più attivo nelle operazioni informatiche, questo gruppo non sembra collaborare con il governo, afferma Chetan Raghuprasad, leader tecnico della ricerca sulla sicurezza per il gruppo Talos di Cisco.

"La priorità principale è il guadagno finanziario e l'attore sta tentando di dirottare l'attività sui social media e gli account pubblicitari della vittima", afferma. “È anche possibile la potenziale esposizione ad attacchi successivi, inclusa la diffusione di altri malware. La nostra ricerca non ha riscontrato alcun esempio di consegna di altri carichi utili”.

Gli autori delle minacce vietnamite si concentrano spesso sui social media. IL famigerato gruppo OceanLotus – noto anche come APT32 – ha attaccato altri governi, dissidenti e giornalisti nei paesi del sud-est asiatico, compreso il Vietnam. Un gruppo associato all'esercito, Force 47, legato alla stazione televisiva ufficiale dell'esercito vietnamita. tenta regolarmente di influenzare i gruppi di social media.

CoralRaider, tuttavia, sembra essere collegato a motivazioni di profitto piuttosto che a programmi nazionalisti.

"Al momento, non abbiamo alcuna prova o informazione che indichi che CoralRaider collabori con il governo vietnamita", afferma Raghuprasad.

Catena di infezione multistadio

Una campagna CoralRaider inizia in genere con un file di collegamento di Windows (.LNK), spesso utilizzando un'estensione .PDF nel tentativo di ingannare la vittima inducendola ad aprire i file. secondo l'analisi Cisco. Successivamente, gli aggressori attraversano una serie di fasi nel loro attacco:

Oltre alle credenziali, XClient ruba anche dati del browser, informazioni sul conto della carta di credito e altri dati finanziari. Infine, XClient cattura uno screenshot del desktop della vittima e lo carica.

Nel frattempo, secondo i ricercatori, ci sono indicazioni che gli aggressori abbiano preso di mira persone anche in Vietnam.

"La funzione di ladro [XClient] mappa le informazioni della vittima rubata in parole vietnamite codificate e le scrive in un file di testo nella cartella temporanea della macchina della vittima prima dell'esfiltrazione", afferma l'analisi. "Una funzione di esempio che abbiamo osservato viene utilizzata per rubare l'account Facebook Ads della vittima che è codificato con parole vietnamite per Diritti account, Soglia, Speso, Fuso orario e Data di creazione."

Il gruppo CoralRaider ha utilizzato un bot automatizzato sul servizio Telegram come canale di comando e controllo e anche per estrarre dati dai sistemi delle vittime. Sembra però che il gruppo di criminali informatici abbia infettato una delle proprie macchine, perché i ricercatori di Cisco hanno scoperto degli screenshot delle informazioni pubblicate sul canale.

"Analizzando le immagini del desktop dell'attore sul bot di Telegram, abbiamo trovato alcuni gruppi Telegram in vietnamita chiamati 'Kiém tien tử Facebook, 'Mua Bán Scan MINI' e 'Mua Bán Scan Meta'", ha affermato Cisco Talos nell'analisi . “Il monitoraggio di questi gruppi ha rivelato che si trattava di mercati sotterranei in cui, tra le altre attività, venivano scambiati i dati delle vittime”.

L'arrivo di CoralRaider sulla scena delle minacce informatiche non sorprende: il Vietnam sta attualmente affrontando un aumento delle minacce derivanti da malware che rubano gli account, afferma Sakshi Grover, responsabile della ricerca nel gruppo Cybersecurity Services di IDC per la regione Asia/Pacifico.

"Sebbene storicamente meno associato alla criminalità informatica rispetto ad altre nazioni asiatiche, la rapida adozione delle tecnologie digitali da parte del Vietnam lo ha reso più suscettibile alle minacce informatiche", afferma. “Le minacce persistenti avanzate (APT) prendono sempre più di mira enti governativi, infrastrutture critiche e aziende, utilizzando tecniche sofisticate come malware personalizzato e ingegneria sociale per infiltrarsi nei sistemi e rubare dati sensibili”.

Poiché le condizioni economiche variano in tutto il Vietnam – con alcune aree che presentano opportunità di lavoro limitate, con conseguenti salari bassi per ruoli altamente qualificati – gli individui possono essere incentivati ​​a impegnarsi nella criminalità informatica per fare soldi, afferma Grover.

• Distribuzione di contenuti basati su SEO e PR. Ricevi amplificazione oggi.
• PlatoData.Network Generativo verticale Ai. Potenzia te stesso. Accedi qui.
• PlatoAiStream. Intelligenza Web3. Conoscenza amplificata. Accedi qui.
• PlatoneESG. Carbonio, Tecnologia pulita, Energia, Ambiente, Solare, Gestione dei rifiuti. Accedi qui.
• Platone Salute. Intelligence sulle biotecnologie e sulle sperimentazioni cliniche. Accedi qui.
• Fonte: https://www.darkreading.com/vulnerabilities-threats/vietnamese-cybercrime-group-coralraider-nets-financial-data