被怀疑源自越南的黑客组织CoralRaider,自2023年5月起至少已经被观察到针对亚洲和东南亚多个国家的受害者进行恶意软件攻击,旨在窃取有价值的数据。
CoralRaider是一个以经济动机为主的黑客组织。该组织的攻击活动的目标包括印度、中国、韩国、孟加拉国、巴基斯坦、印度尼西亚和越南。该组织专注于窃取受害者的凭证、金融数据和社交媒体账户,包括商业和广告账户。他们使用的恶意软件载荷包括RotBot(QuasarRAT的定制变种)和XClient Stealer。
该组织还使用的其他通用恶意软件包括远程访问木马和信息窃取者,如AsyncRAT、NetSupport RAT和Rhadamanthys。
该黑客组织特别关注窃取商业和广告账户,在针对越南的攻击活动的分析发现其中涉及使用Ducktail、NodeStealer和VietCredCare等恶意软件控制这些账户,以进一步变现。他们利用Telegram将窃取的信息从受害者机器中外泄,然后在地下市场交易以获取非法收入。
研究人员指出:“根据其在Telegram C&C机器人频道中的攻击者消息,以及他们命名机器人时的语言偏好,PDB字符串和其他硬编码在有效载荷二进制文件中的越南单词,估计CoralRaider的运营团伙位于越南。”
攻击链通常以Windows快捷方式文件(LNK)开始,尽管目前尚不清楚这些文件是如何分发给目标的。
如果打开LNK文件,将从攻击者控制的下载服务器下载并执行HTML应用程序(HTA)文件,该文件又会运行一个嵌入的Visual Basic脚本。
这个脚本依次解密并执行另外三个PowerShell脚本,负责执行反虚拟机和反分析检查、绕过Windows用户访问控制(UAC)、禁用Windows和应用程序通知、下载并运行RotBot等操作。
RotBot被配置为联系Telegram机器人并检索XClient Stealer恶意软件并在内存中执行它,最终促成从Brave、Cốc Cốc、Google Chrome、Microsoft Edge、Mozilla Firefox、Opera等Web浏览器,以及Discord和Telegram等平台中窃取Cookie、凭证和金融信息。
XClient还被设计用于从受害者的Facebook、Instagram、TikTok和YouTube等账户中窃取数据,收集与其Facebook商业和广告账户相关的付款方式和权限的详细信息。
RotBot是 Quasar RAT 客户端的一个变种,是攻击者为这次活动定制和编译的。[XClient]基于插件模块和执行远程管理任务的各种模块,具有广泛的信息窃取能力。
Bitdefender披露了一项在Facebook上利用围绕生成AI工具的热点进行恶意广告活动的细节,来推广各种信息窃取工具,如Rilide、Vidar、IceRAT和一种名为Nova Stealer的新的攻击者。
攻击的起点是攻击者接管现有的Facebook账户,并修改其外观以模仿谷歌、OpenAI和Midjourney等知名AI工具,通过在该平台上投放赞助广告扩大其影响范围。
其中一家冒充Midjourney的网页在2023年3月8日被下线之前拥有120万粉丝。管理该页面的攻击者主要来自越南、美国、印度尼西亚、英国和澳大利亚等国家。
针对该黑客组织所采用的手段的攻击模拟规则已经加入到塞讯安全度量验证平台中,您可以在塞讯安全度量验证平台中搜索关键词“QuasarRAT”、“AsyncRAT”、“NetSupport RAT”、“Ducktail”、“Vidar”获取相关攻击模拟验证动作,从而验证您的安全防御体系是否能够有效应对该黑客组织的攻击,平台以业界独有方式确保您的验证过程安全无害。
