Vietnam’la bağlantılı yeni gelen bir siber suç grubu, sosyal medya hesap bilgilerini ve kullanıcı verilerini çalmaya çalışarak Asya’daki bireyleri ve kuruluşları hedef aldı.
İlk olarak 2023’ün sonlarında ortaya çıkan CoralRaider, veri sızdırma konusunda ağırlıklı olarak sosyal mühendislik ve yasal hizmetlere güveniyor ve kurban sistemlerine kötü amaçlı yazılım yüklemek için özel araçlar geliştiriyor. Ancak Cisco’nun Talos tehdit istihbarat grubuyla tehdit araştırmacıları CoralRaider’da yapılan yeni bir analizde, grubun yanlışlıkla kendi sistemlerine virüs bulaştırmak gibi bazı çaylak hatalar yaptığını ve bunun da faaliyetlerini açığa çıkardığını belirtti.
Cisco’nun Talos grubunun güvenlik araştırmaları teknik lideri Chetan Raghuprasad, Vietnam’ın siber operasyonlarda giderek daha aktif hale gelmesine rağmen bu grubun hükümetle çalışıyor gibi görünmediğini söylüyor.
“Asıl öncelik maddi kazançtır ve aktör, kurbanın sosyal medya işini ve reklamlarını ele geçirmeye çalışıyor”[ing] hesaplar” diyor. “Diğer kötü amaçlı yazılımların yayılması da dahil olmak üzere, devam eden saldırılara maruz kalma potansiyeli de mümkündür. Araştırmamız başka yüklerin teslim edildiğine dair herhangi bir örnek görmedi.”
Vietnam tehdit aktörleri sıklıkla sosyal medyaya odaklanıyor. meşhur OceanLotus grubu APT32 olarak da bilinen bu örgüt, Vietnam da dahil olmak üzere Güneydoğu Asya ülkelerindeki diğer hükümetlere, muhaliflere ve gazetecilere saldırdı. Askeri bağlantılı bir grup olan Force 47, Vietnam ordusunun resmi televizyon kanalına bağlı. düzenli olarak sosyal medya gruplarını etkilemeye çalışır.
Ancak CoralRaider’ın milliyetçi gündemlerden ziyade kâr güdüleriyle bağlantılı olduğu görülüyor.
Raghuprasad, “Şu anda CoralRaider’ın Vietnam hükümetiyle çalıştığına dair işaretlere dair herhangi bir kanıt veya bilgimiz yok” diyor.
Çok Aşamalı Enfeksiyon Zinciri
Bir CoralRaider kampanyası genellikle bir Windows kısayol (.LNK) dosyasıyla başlar ve genellikle kurbanı dosyaları açmaya kandırmak amacıyla bir .PDF uzantısı kullanır. Cisco analizine göre. Bunu takiben saldırganlar, saldırılarında bir dizi aşamadan geçer:
-
Windows kısayolu, saldırgan tarafından kontrol edilen bir sunucudan bir HTML uygulaması (HTA) dosyasını indirir ve çalıştırır
-
HTA dosyası gömülü bir Visual Basic betiğini çalıştırır
-
VB betiği bir PowerShell betiği çalıştırır ve bu betik daha sonra aracın bir sanal makinede çalışıp çalışmadığını tespit etmek için bir dizi anti-analiz kontrolü, sistemin Kullanıcı Erişim Denetimleri için bir bypass ve tüm bildirimleri devre dışı bırakan kod dahil olmak üzere üç PowerShell betiği daha çalıştırır. kullanıcıya
-
Son komut dosyası, algılamadan kaçınma gerçekleştiren, sistemde keşif gerçekleştiren ve bir yapılandırma dosyası indiren bir yükleyici olan RotBot’u çalıştırır.
-
RotBot daha sonra genellikle sosyal medya hesabı kimlik bilgileri de dahil olmak üzere sistemden çeşitli kullanıcı verilerini toplayan XClient’i indirir.
XClient, kimlik bilgilerine ek olarak tarayıcı verilerini, kredi kartı hesap bilgilerini ve diğer finansal verileri de çalar. Ve son olarak XClient, kurbanın masaüstünün ekran görüntüsünü alır ve yükler.
Bu arada araştırmacılar, saldırganların Vietnam’daki bireyleri de hedef aldığına dair işaretlerin bulunduğunu söylüyor.
” [XClient] Hırsız işlevi, çalınan kurbanın bilgilerini sabit kodlanmış Vietnamca kelimelerle eşleştirir ve bunları sızmadan önce kurbanın makinesinin geçici klasöründeki bir metin dosyasına yazar.” Hesap hakları, Eşik, Harcanan, Saat Dilimi ve Oluşturulma Tarihi anlamına gelen Vietnamca kelimelerle.”
CoralRaider grubu, komuta ve kontrol kanalı olarak ve kurbanların sistemlerinden veri sızdırmak için Telegram hizmetinde otomatik bir bot kullandı. Ancak siber suçlu grubunun kendi makinelerinden birine virüs bulaştırdığı görülüyor çünkü Cisco araştırmacıları kanala gönderilen bilgilerin ekran görüntülerini keşfetti.
Cisco Talos, analizde şunları belirtti: “Oyuncunun Masaüstündeki görüntüleri Telegram botunda analiz ederken, ‘Facebook’ta Facebook, ‘Mua Bán Scan MINI’ ve ‘Mua Bán Scan Meta’ adında Vietnamca birkaç Telegram grubu bulduk.” . “Bu grupların izlenmesi, bunların, diğer faaliyetlerin yanı sıra kurban verilerinin alınıp satıldığı yer altı pazarları olduğunu ortaya çıkardı.”
CoralRaider’ın siber tehdit sahnesine çıkışı şaşırtıcı değil: IDC’nin Asya/Pasifik bölgesi Siber Güvenlik Hizmetleri grubunda araştırma müdürü olan Sakshi Grover, Vietnam’ın şu anda hesap çalmaya yönelik kötü amaçlı yazılımlardan kaynaklanan tehditlerde bir artışla karşı karşıya olduğunu söylüyor.
“Diğer Asya ülkelerine kıyasla siber suçlarla tarihsel olarak daha az ilişkilendirilmesine rağmen, Vietnam’ın dijital teknolojileri hızla benimsemesi onu siber tehditlere karşı daha duyarlı hale getirdi” diyor. “Gelişmiş kalıcı tehditler (APT’ler), sistemlere sızmak ve hassas verileri çalmak için özel kötü amaçlı yazılım ve sosyal mühendislik gibi karmaşık teknikler kullanarak giderek daha fazla devlet kurumlarını, kritik altyapıyı ve işletmeleri hedef alıyor.”
Grover, Vietnam’da ekonomik koşulların farklılık göstermesi nedeniyle (bazı bölgelerde sınırlı iş fırsatlarının olması ve bunun sonucunda yüksek vasıflı roller için ücretlerin düşük olması), bireylerin para kazanmak için siber suçlara karışmaya teşvik edilebileceğini söylüyor.