“CoralRaider” adlı yeni bir tehdit aktörü, kurbanların mali bilgilerini, giriş bilgilerini ve sosyal medya profillerini (işletme hesapları ve reklamlar dahil) hedef alıyor.
Vietnam kökenli grup en az 2023’ten beri faaliyet gösteriyor ve birçok Asya ve Güneydoğu Asya ülkesindeki mağdurları hedef alıyor.
Son saldırıda saldırganlar, yük olarak XClient hırsızını ve QuasarRAT’ın özelleştirilmiş bir versiyonu olan RotBot’u kullandı.
Kurbanın bilgisayarındaki IP adresi, ASN ve aktif işlemler, bir uzaktan erişim aracı (RAT) olan RotBot’un tespit edilmekten kaçınmak için üzerinde çalıştığı çeşitli testler arasında yer alıyor.
XClient hırsızı, eklenti modülü ve uzaktan yönetim işlemlerini yürütmek için çeşitli modüller sayesinde önemli bilgi çalma yetenekleri sunar.
Trustifi’nin Gelişmiş tehdit koruması, en geniş yelpazedeki karmaşık saldırıları, kullanıcının posta kutusuna ulaşmadan önce önler. Gelişmiş Yapay Zeka Destekli E-posta Koruması ile Trustifi Ücretsiz Tehdit Taramasını deneyin.
Ücretsiz Tehdit Taraması Çalıştırın
Kullanılan Önemli Taktikler, Teknikler ve Prosedürler (TTP’ler)
Cisco Talos raporlarına göre saldırgan iki Telegram botu kullandı: hata ayıklama için bir “hata ayıklama” botu ve kurban verilerini almak için bir “çevrimiçi” bot.
Öte yandan, “hata ayıklama” botunun masaüstü görüntüsü ve Telegram, “çevrimiçi” botunkilerle aynı görünüyordu.
Bu, aktörün botu test ederken çevresini tehlikeye atmış olabileceğini gösterdi.
Araştırmacıların araştırması, birkaç OneDrive klasörünü gösteren iki resim daha ortaya çıkardı.
Büyük olasılıkla kurbanların verilerini içeren bir Excel dosyası başka bir resimde incelendi. Elektronik tablo Vietnamca’da birden fazla sekme içeriyor.
Talos araştırmacıları Cyber Security News ile şunları paylaştı: “CoralRaider, yük XClient hırsızının çeşitli çalma fonksiyonlarında Vietnamca sözcükleri kodlamıştı.”
“Çalıcı işlevi, çalınan kurbanın bilgilerini sabit kodlu Vietnamca kelimelerle eşleştirir ve bunları, sızmadan önce kurbanın makinesinin geçici klasöründeki bir metin dosyasına yazar”.
Bu kötü niyetli kampanya Güney Kore, Bangladeş, Pakistan, Endonezya, Vietnam, Hindistan, Çin ile Asya ve Güneydoğu Asya’daki diğer ülkelerdeki mağdurları hedef alıyor.
Windows kısayol dosyası, kampanyanın orijinal vektörü görevi görür. Aktörün kurbanlara LNK’leri verme yöntemi şu anda bilinmiyor.
Saldırganın kontrolü altındaki bir indirme sitesinden HTML uygulama dosyasını (HTA) indirip başlatan kötü amaçlı bir Windows kısayol dosyası, saldırının ilk adımıdır.
HTA dosyası açıldığında gömülü, karmaşık bir Visual Basic komut dosyası çalışır.
Kötü amaçlı Visual Basic betiği tarafından belleğe yerleştirilen PowerShell betiği, RotBot’u indirip başlatan, Windows’u ve uygulama bildirimlerini devre dışı bırakan, Kullanıcı Erişim Kontrollerini atlayan ve VM karşıtı ve anti-analiz gerçekleştiren diğer üç PowerShell betiğinin şifresini çözer ve sırayla çalıştırır. kontrol eder.
Kurbanın bilgisayarına RotBot, Yazıcı Alt Sistemi programı “spoolsv.exe” adı altında indirilir ve başlatılır. Tehdit aktörü, bu kampanya için özel olarak bir RotBot oluşturup özelleştirdi.
XClient Stealer, kurbanların tarayıcı verilerini, kredi kartı numaralarını ve sosyal ağ giriş şifrelerini kullanıyor.
İlgili tarayıcı kurulum yollarının mutlak yolları aracılığıyla Chrome, Microsoft Edge, Opera, Brave, CocCoc ve Firefox tarayıcılarının veri dosyalarını hedefler.
Son olarak, XClient hırsızı bir ZIP paketi oluşturur ve kurbanın sosyal medya bilgilerini kaydeder; bu bilgiler, yerel kullanıcı profilinin geçici klasöründeki bir metin dosyasında toplanır.
Kendinizi bu tehlikeli saldırılardan korumak için güvenli parolalar kullanın ve bunları sık sık değiştirin.
Is Your Network Under Attack? - Read CISO’s Guide to Avoiding the Next Breach - Download Free Guide