导 读
至少自 2023 年 5 月以来,据观察,据认为来自越南的黑客利用旨在收集有价值数据的恶意软件针对多个亚洲和东南亚国家的受害者。
Cisco Talos 将该黑客组织命名为 CoralRaider,并将其描述为出于经济动机。该活动的目标包括印度、中国、韩国、孟加拉国、巴基斯坦、印度尼西亚和越南。
安全研究人员 Chetan Raghuprasad 和 Joey Chen 表示:“该组织专注于窃取受害者的凭证、财务数据和社交媒体帐户,包括商业和广告帐户。” 他们解释说,该恶意软件使用 RotBot(Quasar RAT 的一种特殊变体)和 XClient 窃贼作为其有效负载。
该组织使用的其他商品恶意软件包括远程访问木马和信息窃取程序,例如 AsyncRAT、NetSupport RAT 和 Rhadamanthys。针对企业和广告帐户已成为在越南境外运营的攻击者的特别关注点,部署了 Ducktail、NodeStealer 和 VietCredCare 等各种类型的窃取恶意软件来控制此类帐户以进一步获利。
作案手法是利用 Telegram 过滤受害者机器上被盗的信息,然后在地下市场上进行交易以产生非法收入。
研究人员表示:“CoralRaider 运营商的总部位于越南河内,根据攻击者在 C2 Telegram 机器人频道中的消息以及命名机器人的语言偏好、PDB 字符串以及有效负载二进制文件中编码的其他越南语单词进行命名。”
攻击链从 Windows 快捷方式文件 (LNK) 开始,尽管目前还没有明确解释这些文件如何分发到目标。如果打开 LNK 文件,则会从攻击者控制的下载服务器下载并执行 HTML 应用程序 (HTA) 文件,然后运行嵌入的 Visual Basic 脚本。
攻击链
该脚本本身会解密并按顺序执行其他三个 PowerShell 脚本,这些脚本负责执行反虚拟机和反分析检查、规避 Windows 用户访问控制 (UAC)、禁用 Windows 通知和应用程序以及下载和运行 RotBot。
RotBot 配置为联系 Telegram 机器人,检索 XClient 窃取恶意软件并在内存中执行,最终促进窃取数据,包括:Brave、Cốc Cốc、Google Chrome、Microsoft Edge、Mozilla Firefox、和Opera;Discord 和 Telegram 数据;屏幕截图。
XClient 还旨在从受害者的 Facebook、Instagram、TikTok 和 YouTube 帐户中窃取数据,收集有关其企业帐户和 Facebook 广告的支付方式和权限的详细信息。
研究人员表示:“RotBot 是 Quasar RAT 客户端的一个变体,是威胁行为者为此次活动定制和制作的。” “[XClient] 通过其插件模块和各种模块来执行远程管理任务,具有广泛的信息窃取功能。”
这一进展发生之际,Bitdefender 披露了 Facebook 上一项恶意广告活动的细节,该活动利用围绕生成人工智能工具的热议来鼓励各种信息窃取者,如 Rilide、Vidar、IceRAT 和一个名为 Nova Stealer 的新来者。
这次攻击的出发点是攻击接管现有的 Facebook 帐户并修改其外观以模仿 Google、OpenAI 和 Midjourney 等知名人工智能工具,并通过在该平台上运行赞助广告来扩大其影响范围。
一个冒充 Midjourney 的欺诈页面在 2023 年 3 月 8 日被删除之前拥有 120 万粉丝。运行该页面的攻击者主要来自越南、美国、印度尼西亚、英国和澳大利亚等。
研究人员表示:“恶意广告活动通过 Meta 的赞助广告系统产生了巨大的影响力,并积极针对来自德国、波兰、意大利、法国、比利时、西班牙、荷兰、罗马尼亚、瑞典和其他地方的欧洲用户。”
完整技术报告:https://blog.talosintelligence.com/coralraider-targets-socialmedia-accounts/
参考链接:https://selular.id/2024/04/hacker-berbasis-di-vietnam-curi-data-keuangan-di-seluruh-asia-dengan-malware/
今日安全资讯速递
APT事件
Advanced Persistent Threat
卡巴斯基报告:DinodasRAT 恶意软件以 Linux 服务器为目标进行间谍活动
https://www.bleepingcomputer.com/news/security/dinodasrat-malware-targets-linux-servers-in-espionage-campaign/
黑客利用冒充空军邀请的恶意软件攻击印度国防和能源部门
https://thehackernews.com/2024/03/hackers-target-indian-defense-and.html
CISA警告:黑客积极攻击Microsoft SharePoint漏洞(CVE-2023-24955)
https://thehackernews.com/2024/03/cisa-warns-hackers-actively-attacking.html
Linux 版本的 DinodasRAT 被发现存在多个国家的网络攻击中
https://thehackernews.com/2024/03/linux-version-of-dinodasrat-spotted-in.html
俄罗斯研究人员检测到使用 WinRAR 漏洞的间谍活动与乌克兰有关
https://therecord.media/russian-researchers-winrar-bug-ukraine-espionage
Volt Typhoon 和其他 4 个组织通过 Ivanti 漏洞瞄准美国能源和国防部门
https://therecord.media/volt-typhoon-china-targeting-energy-defense-ivanti-bugs
新的 JSOutProx 恶意软件针对亚太地区、中东和北非地区的金融公司
https://www.infosecurity-magazine.com/news/jsoutprox-targets-financial-firms/
一般威胁事件
General Threat Incidents
Sophos 的一份新报告显示,网络犯罪分子越来越多地利用远程桌面协议 (RDP)
https://punchng.com/cybercriminals-exploiting-remote-desktop-protocols-says-report/
新的 HTTP/2 漏洞使服务器面临毁灭性 DoS 攻击的危险
https://www.techspot.com/news/102530-new-http2-vulnerability-leaves-servers-danger-devastating-dos.html
黑客使用武器化 PDF 文件在 Windows 上传播 Byakugan 恶意软件
https://cybersecuritynews.com/hackers-weaponized-pdf-files/
Play商店中检测到87个假加密货币应用程序
https://www.lavanguardia.com/andro4all/google-play/87-apps-de-criptomonedas-falsas-detectadas-en-play-store-hay-mas-de-100-000-personas-afectadas-por-la-estafa
报告表明 Panera 连锁咖啡店数字系统中断背后是网络攻击
https://ca.sports.yahoo.com/news/report-suggests-cyberattack-behind-paneras-181254560.html
漏洞事件
Vulnerability Incidents
大约 16,500 个 Ivanti Connect Secure 和 Poly Secure 网关仍然容易受到远程代码执行 (RCE) 缺陷的影响
https://securityaffairs.com/161544/security/ivanti-16500-vulnerable-istances.html
思科警告报废小型企业路由器存在 XSS 缺陷
https://securityaffairs.com/161540/security/cisco-eof-routers-xss.html
超过 92,000 个暴露的 D-Link NAS 设备有后门帐户
https://www.bleepingcomputer.com/news/security/over-92-000-exposed-d-link-nas-devices-have-a-backdoor-account/
讲述普通人能听懂的安全故事