Yayınlandı: 6 Nisan 2024

Maryland merkezli bir siber güvenlik teknolojisi ve bilgi güvenliği şirketi olan Cisco Talos, kısa süre önce Vietnam'dan geldiğine ve finansal kazanç odaklı olduğuna inanılan "CoralRaider" adlı yeni bir siber tehdidi ortaya çıkardı.

CoralRaider yaklaşık 2023'ten bu yana Hindistan, Bangladeş, Çin, Vietnam, Güney Kore, Endonezya ve diğerleri dahil olmak üzere çeşitli Asya ve Güneydoğu Asya ülkelerindeki bireyleri hedef alıyor.

CoralRaider, planlarını gerçekleştirmek için QuasarRAT'ın değiştirilmiş bir versiyonu olan RotBot ve XClient hırsızı gibi gelişmiş araçlar kullanıyor. Ek olarak, kötü amaçlı dosyalarını gizlemek için meşru hizmetleri ve tespit edilmekten kaçınmak için Forfiles.exe ve FoDHelper.exe gibi yaygın olmayan programları kullanarak "ölü bırakma" adı verilen bir teknikten yararlanırlar.

Saldırı basit bir süreci takip ediyor:

1. Kullanıcı kötü amaçlı bir Windows Kısayol dosyasını açar
2. Dosya, saldırgan tarafından kontrol edilen bir indirme sunucusundan bir HTML uygulama dosyasını (HTA) indirir ve çalıştırır.
3. HTA, bellekte bir PowerShell betiğini çalıştıran gömülü bir Visual Basic betiğini etkinleştirir
4. PowerShell betiği, Kullanıcı Erişim Kontrollerini atlayan, VM karşıtı ve analiz karşıtı kontroller gerçekleştiren ve Windows bildirimlerini devre dışı bırakan 3 diğer girişimi başlatır
5. Son olarak, XClient hırsızını yükleyen RotBot'u indirir ve çalıştırır.

Grup, sosyal medya hesapları (iş ve reklam için kullanılanlar dahil), kimlik bilgileri ve finansal veriler dahil olmak üzere birçok türde kişisel veriyi çalmak için XClient'ı kullanıyor. Bu veriler daha sonra diğer kötü aktörlere satış da dahil olmak üzere mali kazanç için kullanılır.

“Vietnam dilinde 'Kiém tien tử Facebook', 'Mua Bán Scan MINI' ve 'Mua Bán Scan Meta' adında birkaç Telegram grubu bulduk. " dedi Cisco Talos. "Bu grupların izlenmesi, bunların diğer faaliyetlerin yanı sıra kurban verilerinin alınıp satıldığı yer altı pazarları olduğunu ortaya çıkardı."

CoralRaider'ın keşfi, özellikle finansal siber suçlarla ilgili olmak üzere siber tehditlerin sürekli gelişen doğasını vurgulamaktadır. Hassas bilgilerin çalınmasına odaklanan bu grup, hem bireyler hem de kuruluşlar için önemli bir risk oluşturmaktadır.

• SEO Destekli İçerik ve Halkla İlişkiler Dağıtımı. Bugün Gücünüzü Artırın.
• PlatoData.Network Dikey Üretken Yapay Zeka. Kendine güç ver. Buradan Erişin.
• PlatoAiStream. Web3 Zekası. Bilgi Genişletildi. Buradan Erişin.
• PlatoESG. karbon, temiz teknoloji, Enerji, Çevre, Güneş, Atık Yönetimi. Buradan Erişin.
• PlatoSağlık. Biyoteknoloji ve Klinik Araştırmalar Zekası. Buradan Erişin.
• Kaynak: https://www.safetydetectives.com/news/vietnamese-hackers-strike-coralraider-targets-asian-accounts/