至少自 2023 年 5 月以来,据观察,来自越南的恶意软件攻击针对多个亚洲和东南亚的企业和个人。这些攻击被 Cisco Talos 命名为 CoralRaider,据描述,这是出于经济动机的行动。
安全专家 Chetan Raghuprasad 和 Joey Chen 指出,该恶意软件主要目标是窃取凭证、财务数据和社交媒体账户信息,包括商业和广告账户。研究人员发现,该恶意软件使用 RotBot(Quasar RAT 的一个特殊变体)和 XClient 窃贼作为其有效负载。
除了这些主要使用的恶意软件外,还有其他如 AsyncRAT、NetSupport RAT 和 Rhadamanthys 等远程访问木马和信息窃取程序。特别是在越南境外运营的攻击者,他们更关注企业和广告账户,部署了各种窃取恶意软件如 Ducktail、NodeStealer 和 VietCredCare 来控制这些账户以谋取利益。
这些攻击者通过 Telegram 过滤机器上盗取的信息,并在地下市场上非法交易以获取利润。据研究人员称,CoralRaider 的运营商总部位于越南河内,根据其攻击手段和在 C2 Telegram 机器人频道中的活动进行命名。
攻击链始于 Windows 快捷方式文件(LNK),但目前尚不清楚这些文件是如何分发到目标的。一旦打开 LNK 文件,就会从攻击者控制的服务器下载并执行 HTA 文件,然后运行嵌入的 Visual Basic 脚本。该脚本会解密并执行其他三个 PowerShell 脚本,这些脚本负责执行一系列操作,包括联系 Telegram 机器人、检索 XClient 窃取恶意软件并在内存中执行。
XClient 旨在从各种社交媒体账户中窃取数据,包括 Instagram、TikTok 和 YouTube,并收集有关其企业帐户和广告的支付方式和权限的详细信息。RotBot 是 Quasar RAT 的一个变体,是威胁行为者为此次活动定制和制作的。
与此Bitdefender 披露了一项针对社交媒体平台的恶意广告活动细节。该活动利用智能工具的热议来鼓励各种信息窃取者。这次攻击的出发点是接管现有的社交媒体帐户并模仿知名人工智能工具,如 Google、OpenAI 和 Midjourney,通过赞助广告扩大影响力。其中一个冒充 Midjourney 的欺诈页面在短短时间内就吸引了大量粉丝。
