RotBot-haittaohjelma
Ryhmän, jonka uskotaan olevan peräisin Vietnamista, on tunnistettu kohdistaneen henkilöihin eri Aasian ja Kaakkois-Aasian maissa uhkaavia ohjelmistoja, joiden tarkoituksena on poimia arvokasta tietoa ainakin toukokuusta 2023 lähtien. CoralRaider-nimellä tunnettu kyberturvallisuusasiantuntijat seuraavat tarkasti tätä operaatiota ja panevat merkille sen taloudelliset motiivit. Kampanjan painopisteitä ovat Intia, Kiina, Etelä-Korea, Bangladesh, Pakistan, Indonesia ja Vietnam.
Tämä kyberrikollinen syndikaatti on erikoistunut valtuustietojen, taloustietojen ja sosiaalisen median profiilien ryöstelyyn, joka kattaa sekä henkilökohtaiset että yritystilit. Heidän arsenaalinsa tätä hyökkäystä varten sisältää RotBotin, Quasar RAT :n mukautetun version ja XClient-varastajan. Lisäksi he ottavat käyttöön useita valmiita haittaohjelmia, kuten AsyncRAT , NetSupport RAT ja Rhadamanthys , joiden tarkoituksena on saada etäkäyttö ja siirtää tietoja vaarantuneista järjestelmistä.
Sisällysluettelo
Kyberrikolliset pyrkivät saamaan arkaluonteisia tietoja valituista kohteista
Vietnamista kotoisin olevat hyökkääjät ovat panostaneet merkittävästi yritys- ja mainostilien tunkeutumiseen, ja ne ovat käyttäneet useita varastajien haittaohjelmaperheitä, kuten Ducktail , NodeStealer ja VietCredCare, ottaakseen nämä tilit hallintaansa myöhempää kaupallistamista varten.
Heidän toimintatapansa sisältää Telegramin käyttämisen uhrien koneilta varastetun tiedon välittämiseen, jota sitten vaihdetaan salaisilla markkinoilla laittomien voittojen tuottamiseksi.
Todisteet viittaavat siihen, että CoralRaiderin operaattorit sijaitsevat Vietnamissa, kuten osoittavat toimijoiden viestit Telegram Command and Control (C2) -bottikanavilla sekä heidän suosionsa vietnamilaista kieltä nimeäessään bottejaan, PDB-merkkijonoja ja muut vietnamilaiset termit, jotka on koodattu niiden hyötykuorman binääriin.
Monivaiheinen infektioketju tarjoaa RotBot-haittaohjelmauhan
Hyökkäysjärjestys käynnistyy Windowsin pikakuvaketiedostolla (LNK), vaikka kohteille jakelutapa on edelleen epäselvä. Kun LNK-tiedosto avataan, HTML-sovellustiedosto (HTA) ladataan ja suoritetaan hyökkääjän hallitsemalta palvelimelta, minkä jälkeen suoritetaan sulautettu Visual Basic -komentosarja.
Tämä komentosarja puolestaan purkaa ja suorittaa peräkkäin kolme muuta PowerShell-komentosarjaa, jotka vastaavat VM- ja anti-analyysitarkastuksista, Windows User Access Controlin (UAC) ohittamisesta, Windowsin ja sovellusten ilmoitusten deaktivoinnista sekä RotBotin lataamisesta ja suorittamisesta.
RotBot on määritetty kommunikoimaan Telegram-botin kanssa, hakemaan ja suorittamaan muistista XClient-varkaushaittaohjelman. Tämä helpottaa evästeiden, tunnistetietojen ja taloudellisten tietojen varkautta verkkoselaimista, kuten Brave, Cốc Cốc, Google Chrome, Microsoft Edge, Mozilla Firefox ja Opera, sekä Discord- ja Telegram-tietojen ja kaappaa kuvakaappauksia.
Lisäksi XClient on suunniteltu poimimaan tietoja uhrien Facebook-, Instagram-, TikTok- ja YouTube-tileiltä ja hankkimaan tietoja heidän Facebook-liiketoiminta- ja mainostileihinsa liittyvistä maksutavoista ja luvista.
RotBot, Quasar RAT -asiakkaan räätälöity muunnos, uhkatoimija on räätälöinyt ja koonnut erityisesti tätä kampanjaa varten. Lisäksi XClient tarjoaa laajat tiedonvarasto-ominaisuudet laajennusmoduulinsa ja erilaisten toimintojen avulla etähallintatehtävien suorittamiseen.
Tietovarastot ovat edelleen huomattava uhka, joka kohdistuu useille sektoreille
Facebookin haitallinen kampanja hyödyntää generatiivisten tekoälytyökalujen ympärillä olevaa hypeä erilaisten tietovarastajien, kuten Riliden, Vidarin, IceRATin ja äskettäin ilmaantuneen Nova Stealer -uhan edistämiseksi.
Hyökkäys alkaa siitä, että uhkatekijä ottaa haltuunsa olemassa olevan Facebook-tilin ja muuttaa sen ulkoasua muistuttamaan Googlen, OpenAI:n ja Midjourneyn suosittuja tekoälytyökaluja. He laajentavat vaikutusvaltaansa näyttämällä sponsoroituja mainoksia alustalla.
Esimerkiksi Midjourneyksi esiintyvä väärennetty sivu keräsi 1,2 miljoonaa seuraajaa ennen kuin se suljettiin 8. maaliskuuta 2023. Näiden sivujen takana olevat henkilöt sijaitsivat pääasiassa Vietnamissa, Yhdysvalloissa, Indonesiassa, Isossa-Britanniassa ja Australiassa muun muassa.
Nämä haitalliset kampanjat hyödyntävät Metan sponsoroimaa mainosjärjestelmää laajan tavoittavuuden saavuttamiseksi ja kohdistavat aktiivisesti eurooppalaisiin käyttäjiin esimerkiksi Saksassa, Puolassa, Italiassa, Ranskassa, Belgiassa, Espanjassa, Alankomaissa, Romaniassa, Ruotsissa ja muissa maissa.
