จากการสืบค้นข้อมูลข่าวการโจมตีพบว่า เมื่อวันที่ 4 เมษายน 2567 ทาง Cisco Talos ได้มีการรายงานเกี่ยวกับกลุ่มผู้ประสงค์ร้าย (Threat Actor) จากประเทศเวียดนามโดยโจมตีเป้าหมายภายใต้ Asia เช่น อินเดีย, จีน, เกาหลีใต้, บังกลาเทศ, ปากีสถาน, อินโดนีเซีย และเวียดนามเอง ด้วยมัลแวร์ประเภทขโมยข้อมูล (Stealer) โดยจากการวิเคราะห์ของ Cisco Talos ชี้ชัดว่ากลุ่มแฮกเกอร์ “CoralRaider” อาศัยอยู่ในเวียดนามสืบเนื่องจาก ข้อความใน Telegram มีการใช้ภาษาเวียดนามพร้อมทั้งที่อยู่ IP ของผู้โจมตีนั้นอยู่ในกรุงฮานอย ประเทศเวียดนาม
นอกจากนี้ยังมีเบาะแสที่สามารถเชื่อมโยงไปถึงกลุ่มผู้ประสงค์ร้าย (Threat Actor) “CoralRaider” โดยจากการวิเคราะห์ภาพหน้าจอบนเดสก์ท็อปของผู้โจมตี พบกลุ่ม Telegram ภาษาเวียดนามชื่อ “Kiếm tien tử Facebook,” “Mua Bán Scan MINI,” และ “Mua Bán Scan Meta” ซึ่งเป็นตลาดมืดที่ใช้ซื้อขายข้อมูลเหยื่อในภาพจากบอทดีบัก พบรหัสประจำเครื่อง (HWID) ของ Windows และที่อยู่ IP 118[.]71[.]64[.]18 ซึ่งอยู่ในฮานอย ประเทศเวียดนาม เชื่อว่าเป็นที่อยู่ IP ของ CoralRaider ลำดับขั้นตอนการโจมตีของกลุ่ม CoralRaider
1.) เริ่มต้นการโจมตี - (Preparation Phase)
2.) เจาะเข้าสู่ระบบ - (Initial Access)
3.) ปฏิบัติการ RotBot - (Execution)
4.) การโจรกรรมข้อมูล - (Exfiltraion)
โดยทางทีม Cisco Talos ได้มีการรวบรวม และเผยแพร่ข้อมูลที่เกี่ยวข้องกับสัญญาณบ่งชี้การบุกรุก (Indicator of Compromised) ของการโจมตีที่เกิดขึ้นเพื่อช่วยเหลือองค์กรต่างๆ ในการป้องกันและตรวจจับภัยคุกคามทางไซเบอร์
แหล่งข้อมูล
CoralRaider targets victims’ data and social media accounts
AlienVault - Open Threat Exchange
Vietnamese Threat Actor Targeting Financial Data Across Asia
Vietnamese threat actor dubbed CoralRaider targets Asian entities with LNK-based malware campaign
IOCs/2024/04/coralraider-targets-socialmedia-accounts.txt at main · Cisco-Talos/IOCs
แฮกเกอร์ใช้ประโยชน์จากช่องโหว่ในโมดูล Facebook ระดับพรีเมียมสำหรับ PrestaShop ที่ชื่อว่า pkfacebook เพื่อปล่อย Card skimmer บนไซต์ E-commerce ที่มีช่องโหว่ และขโมยข้อมูลบัตรเครดิตการชำระเงิน
นักวิจัยจาก Sonatype นามว่า Ax Sharma พบแพ็กเกจอันตรายของ PyPi ที่เป็นส่วนหนึ่งของแคมเปญที่ผ่านมาชื่อว่า 'Cool package' ตั้งชื่อตามสตริงในข้อมูล Metadata ของแพ็กเกจที่กำหนดเป้าหมายผู้ใช้ Windows เมื่อปีที่แล้ว
Google ปล่อยแพตช์แก้ไขช่องโหว่ด้านความปลอดภัยทั้งหมด 9 ช่องโหว่บนเบราว์เซอร์ Chrome รวมถึงช่องโหว่ Zero-Day ที่มีรายงานว่าถูกใช้ในการโจมตีจริงแล้ว