Paige Henley
Cisco Talos, een cyberbeveiligingstechnologie- en informatiebeveiligingsbedrijf gevestigd in Maryland, heeft onlangs een nieuwe cyberdreiging ontdekt genaamd “CoralRaider”, vermoedelijk afkomstig uit Vietnam en gedreven door financieel gewin.
Sinds ongeveer 2023 richt CoralRaider zich op individuen in verschillende Aziatische en Zuidoost-Aziatische landen, waaronder India, Bangladesh, China, Vietnam, Zuid-Korea, Indonesië en andere.
Om hun plannen uit te voeren, maakt CoralRaider gebruik van geavanceerde tools zoals RotBot, een aangepaste versie van QuasarRAT, en XClient stealer. Bovendien gebruiken ze een techniek genaamd 'dead drop', waarbij ze legitieme services gebruiken om hun kwaadaardige bestanden te verbergen, samen met ongebruikelijke programma's zoals Forfiles.exe en FoDHelper.exe om detectie te omzeilen.
De aanval volgt een eenvoudig proces:
- De gebruiker opent een schadelijk Windows-snelkoppelingsbestand
- Het bestand downloadt een HTML-toepassingsbestand (HTA) en voert het uit vanaf een door de aanvaller bestuurde downloadserver
- De HTA activeert een ingebed Visual Basic-script dat een PowerShell-script in het geheugen uitvoert
- Het PowerShell-script heeft nog drie initiatieven ondernomen die gebruikerstoegangscontroles omzeilen, anti-VM- en anti-analysecontroles uitvoeren en Windows-meldingen uitschakelen
- Ten slotte downloadt en voert het RotBot uit, waardoor de XClient-stealer wordt geladen.
De groep gebruikt XClient om vele soorten persoonlijke gegevens te stelen, waaronder sociale-media-accounts (inclusief accounts die worden gebruikt voor zaken en advertenties), inloggegevens en financiële gegevens. Deze gegevens worden vervolgens gebruikt voor financieel gewin, inclusief verkoop aan andere slechte actoren.
“We hebben een paar Telegram-groepen in het Vietnamees gevonden met de namen 'Kiém tien tử Facebook', 'Mua Bán Scan MINI' en 'Mua Bán Scan Meta.' zei Cisco Talos. “Uit het monitoren van deze groepen bleek dat het ondergrondse markten waren waar onder meer slachtoffergegevens werden verhandeld.”
De ontdekking van CoralRaider benadrukt de steeds evoluerende aard van cyberdreigingen, vooral als het gaat om financiële cybercriminaliteit. Omdat de nadruk ligt op het stelen van gevoelige informatie, vormt deze groep een aanzienlijk risico voor zowel individuen als organisaties.
- Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
- PlatoData.Network Verticale generatieve AI. Versterk jezelf. Toegang hier.
- PlatoAiStream. Web3-intelligentie. Kennis versterkt. Toegang hier.
- PlatoESG. carbon, CleanTech, Energie, Milieu, Zonne, Afvalbeheer. Toegang hier.
- Plato Gezondheid. Intelligentie op het gebied van biotech en klinische proeven. Toegang hier.
- Bron: https://www.safetydetectives.com/news/vietnamese-hackers-strike-coralraider-targets-asian-accounts/
