페이지 헨리
메릴랜드에 본사를 둔 사이버 보안 기술 및 정보 보안 회사인 Cisco Talos는 최근 "CoralRaider"라고 불리는 새로운 사이버 위협을 발견했습니다. 이 위협은 베트남에서 발생했으며 금전적 이익을 목적으로 하는 것으로 추정됩니다.
CoralRaider는 2023년경부터 인도, 방글라데시, 중국, 베트남, 한국, 인도네시아 등 다양한 아시아 및 동남아시아 국가의 개인을 표적으로 삼아 왔습니다.
계획을 수행하기 위해 CoralRaider는 QuasarRAT의 수정된 버전인 RotBot 및 XClient 스틸러와 같은 정교한 도구를 사용합니다. 또한 이들은 탐지를 회피하기 위해 Forfiles.exe 및 FoDHelper.exe와 같은 흔하지 않은 프로그램과 함께 합법적인 서비스를 사용하여 악성 파일을 숨기는 "데드 드롭"이라는 기술을 활용합니다.
공격은 간단한 프로세스를 따릅니다.
- 사용자가 악성 Windows 바로가기 파일을 열었습니다.
- 파일은 공격자가 제어하는 다운로드 서버에서 HTML 애플리케이션 파일(HTA)을 다운로드하고 실행합니다.
- HTA는 메모리에서 PowerShell 스크립트를 실행하는 내장된 Visual Basic 스크립트를 활성화합니다.
- 사용자 액세스 제어를 우회하고 VM 방지 및 분석 방지 검사를 수행하며 Windows 알림을 비활성화하는 PowerShell 스크립트 이니셔티브 3개
- 마지막으로 XClient 스틸러를 로드하는 RotBot을 다운로드하고 실행합니다.
이 그룹은 XClient를 사용하여 소셜 미디어 계정(비즈니스 및 광고에 사용되는 계정 포함), 자격 증명 및 금융 데이터를 포함한 다양한 유형의 개인 데이터를 훔칩니다. 이 데이터는 다른 악의적인 행위자에게 판매하는 것을 포함하여 금전적 이득을 위해 사용됩니다.
“우리는 'Kiém tien tử Facebook', 'Mua Bán Scan MINI' 및 'Mua Bán Scan Meta'라는 이름의 베트남어 Telegram 그룹 몇 개를 발견했습니다. "라고 시스코 탈로스(Cisco Talos)는 말했습니다. "이러한 그룹을 모니터링한 결과 이들이 다른 활동 중에서도 피해자 데이터가 거래되는 지하 시장이라는 사실이 밝혀졌습니다."
CoralRaider의 발견은 특히 금융 사이버 범죄와 관련하여 끊임없이 진화하는 사이버 위협의 특성을 강조합니다. 민감한 정보를 훔치는 데 초점을 맞춘 이 그룹은 개인과 조직 모두에 심각한 위험을 초래합니다.
- SEO 기반 콘텐츠 및 PR 배포. 오늘 증폭하십시오.
- PlatoData.Network 수직 생성 Ai. 자신에게 권한을 부여하십시오. 여기에서 액세스하십시오.
- PlatoAiStream. 웹3 인텔리전스. 지식 증폭. 여기에서 액세스하십시오.
- 플라톤ESG. 탄소, 클린테크, 에너지, 환경, 태양광, 폐기물 관리. 여기에서 액세스하십시오.
- PlatoHealth. 생명 공학 및 임상 시험 인텔리전스. 여기에서 액세스하십시오.
- 출처: https://www.safetydetectives.com/news/vietnamese-hackers-strike-coralraider-targets-asian-accounts/
