摘要
据观察,至少自 2023 年 5 月以来,一名疑似来自越南的威胁行为者利用旨在获取有价值数据的恶意软件针对多个亚洲和东南亚国家的受害者。
Cisco Talos 正在以CoralRaider 的名称跟踪该集群,并将其描述为出于经济动机。该活动的目标包括印度、中国、韩国、孟加拉国、巴基斯坦、印度尼西亚和越南。
安全研究人员 Chetan Raghuprasad 和 Joey Chen表示:“该组织专注于窃取受害者的凭证、财务数据和社交媒体帐户,包括商业和广告帐户。” “他们使用 RotBot(Quasar RAT 的定制变体)和 XClient 窃取程序作为有效负载。”
该组织使用的其他商品恶意软件包括远程访问木马和信息窃取程序,例如AsyncRAT、NetSupport RAT和Rhadamanthys。
对于在越南境外运营的攻击者来说,针对商业和广告帐户的目标尤其重要,他们部署了Ducktail、NodeStealer 和 VietCredCare等各种窃取恶意软件系列来控制帐户以进一步获利。
该作案手法需要使用 Telegram 从受害机器中窃取被盗信息,然后在地下市场进行交易以产生非法收入。
研究人员表示:“CoralRaider 运营商的总部位于越南,基于 Telegram C2 机器人频道中的参与者消息以及命名机器人的语言偏好、PDB 字符串以及硬编码在有效负载二进制文件中的其他越南语单词。”
攻击链以 Windows 快捷方式文件 (LNK) 开始,尽管目前还没有明确解释这些文件如何分发到目标。
如果 LNK 文件被打开,则会从攻击者控制的下载服务器下载并执行 HTML 应用程序 (HTA) 文件,该服务器又运行嵌入式 Visual Basic 脚本。
该脚本本身解密并按顺序执行其他三个 PowerShell 脚本,这些脚本负责执行反虚拟机和反分析检查、规避 Windows 用户访问控制 ( UAC )、禁用 Windows 和应用程序通知以及下载和运行 RotBot。
RotBot 配置为联系 Telegram 机器人,检索 XClient 窃取恶意软件并在内存中执行,最终促进从 Brave、Cốc Cốc、Google Chrome、Microsoft Edge、Mozilla Firefox、和歌剧; Discord 和 Telegram 数据;和屏幕截图。
XClient 还可以从受害者的Facebook、Instagram、TikTok 和 YouTube帐户中窃取数据,收集有关其 Facebook 业务和广告帐户的支付方式和权限的详细信息。
研究人员表示:“RotBot 是 Quasar RAT 客户端的一个变体,威胁行为者为此活动定制并编译了该客户端。” “[XClient] 通过其插件模块和用于执行远程管理任务的各种模块具有广泛的信息窃取功能。”
这一进展发生之际,Bitdefender 披露了 Facebook 上一场恶意广告活动的细节,该活动利用围绕生成人工智能工具的热潮,推出了Rilide、Vidar、IceRAT等各种信息窃取程序,以及一种名为 Nova Stealer 的新进入者。
攻击的起点是威胁行为者接管现有的 Facebook 帐户并修改其外观以模仿Google、OpenAI 和 Midjourney的知名人工智能工具,并通过在平台上运行赞助广告来扩大其影响范围。
一个伪装成 Midjourney 的冒名顶替者页面在 2023 年 3 月 8 日被删除之前拥有 120 万粉丝。管理该页面的威胁行为者主要来自越南、美国、印度尼西亚、英国和澳大利亚等。
这家罗马尼亚网络安全公司表示:“恶意广告活动通过 Meta 的搜索广告系统影响深远,并针对来自德国、波兰、意大利、法国、比利时、西班牙、荷兰、罗马尼亚、瑞典和其他地方的欧洲用户。”
2024.04.07
2024.04.03
2024.04.02
注:本文由E安全编译报道,转载请联系授权并注明来源。