Publicerad på: 6 april 2024

Cisco Talos, ett företag inom cybersäkerhetsteknik och informationssäkerhet baserat i Maryland, upptäckte nyligen ett nytt cyberhot kallat "CoralRaider", som tros komma från Vietnam och drivs av ekonomisk vinning.

Sedan omkring 2023 har CoralRaider riktat in sig på individer i olika asiatiska och sydostasiatiska länder inklusive Indien, Bangladesh, Kina, Vietnam, Sydkorea, Indonesien och andra.

För att genomföra sina scheman använder CoralRaider sofistikerade verktyg som RotBot, en modifierad version av QuasarRAT och XClient stealer. Dessutom använder de en teknik som kallas "dead drop", med legitima tjänster för att dölja sina skadliga filer, tillsammans med ovanliga program som Forfiles.exe och FoDHelper.exe för att undvika upptäckt.

Attacken följer en enkel process:

1. Användaren öppnar en skadlig Windows-genvägsfil
2. Filen laddar ner och kör en HTML-programfil (HTA) från en angriparkontrollerad nedladdningsserver
3. HTA aktiverar ett inbäddat Visual Basic-skript som kör ett PowerShell-skript i minnet
4. PowerShell-skriptet tar initiativ till 3 andra som kringgår användaråtkomstkontroller, utför anti-VM och antianalyskontroller och inaktiverar Windows-aviseringar
5. Slutligen laddar den ner och kör RotBot, som laddar XClient-stealern.

Gruppen använder XClient för att stjäla många typer av personlig data, inklusive konton på sociala medier (inklusive de som används för företag och reklam), inloggningsuppgifter och finansiell data. Dessa data används sedan för ekonomisk vinning, inklusive försäljning till andra dåliga aktörer.

"Vi hittade några Telegram-grupper på vietnamesiska som heter 'Kiém tien tử Facebook', 'Mua Bán Scan MINI' och 'Mua Bán Scan Meta.' ", sa Cisco Talos. "Att övervaka dessa grupper avslöjade att de var underjordiska marknader där bland annat offerdata handlades."

Upptäckten av CoralRaider belyser den ständigt utvecklande naturen hos cyberhot, särskilt när det gäller finansiell cyberbrottslighet. Med fokus på att stjäla känslig information utgör denna grupp en betydande risk för både individer och organisationer.

• SEO-drivet innehåll och PR-distribution. Bli förstärkt idag.
• PlatoData.Network Vertical Generative Ai. Styrka dig själv. Tillgång här.
• PlatoAiStream. Web3 Intelligence. Kunskap förstärkt. Tillgång här.
• Platoesg. Kol, CleanTech, Energi, Miljö, Sol, Avfallshantering. Tillgång här.
• PlatoHealth. Biotech och kliniska prövningar Intelligence. Tillgång här.
• Källa: https://www.safetydetectives.com/news/vietnamese-hackers-strike-coralraider-targets-asian-accounts/