จากการสืบค้นข้อมูลข่าวการโจมตีพบว่า เมื่อวันที่ 4 เมษายน 2567 ทาง Cisco Talos ได้มีการรายงานเกี่ยวกับกลุ่มผู้ประสงค์ร้าย (Threat Actor) จากประเทศเวียดนามโดยโจมตีเป้าหมายภายใต้ Asia เช่น อินเดีย, จีน, เกาหลีใต้, บังกลาเทศ, ปากีสถาน, อินโดนีเซีย และเวียดนามเอง ด้วยมัลแวร์ประเภทขโมยข้อมูล (Stealer) โดยจากการวิเคราะห์ของ Cisco Talos ชี้ชัดว่ากลุ่มแฮกเกอร์ “CoralRaider” อาศัยอยู่ในเวียดนามสืบเนื่องจาก ข้อความใน Telegram มีการใช้ภาษาเวียดนามพร้อมทั้งที่อยู่ IP ของผู้โจมตีนั้นอยู่ในกรุงฮานอย ประเทศเวียดนาม

‍

นอกจากนี้ยังมีเบาะแสที่สามารถเชื่อมโยงไปถึงกลุ่มผู้ประสงค์ร้าย (Threat Actor) “CoralRaider” โดยจากการวิเคราะห์ภาพหน้าจอบนเดสก์ท็อปของผู้โจมตี พบกลุ่ม Telegram ภาษาเวียดนามชื่อ “Kiếm tien tử Facebook,” “Mua Bán Scan MINI,” และ “Mua Bán Scan Meta” ซึ่งเป็นตลาดมืดที่ใช้ซื้อขายข้อมูลเหยื่อในภาพจากบอทดีบัก พบรหัสประจำเครื่อง (HWID) ของ Windows และที่อยู่ IP 118[.]71[.]64[.]18 ซึ่งอยู่ในฮานอย ประเทศเวียดนาม เชื่อว่าเป็นที่อยู่ IP ของ CoralRaider ลำดับขั้นตอนการโจมตีของกลุ่ม CoralRaider

1.) เริ่มต้นการโจมตี - (Preparation Phase)

• เหยื่อเปิดไฟล์ทางลัด (.lnk) ที่เป็นอันตราย
• ไฟล์ดาวน์โหลดและรันไฟล์แอปพลิเคชัน HTML (HTA) จากเซิร์ฟเวอร์ดาวน์โหลดที่ผู้โจมตีควบคุม
• ไฟล์ HTA รันสคริปต์ Visual Basic ที่ฝังอยู่ (ยากต่อการถอดรหัส)

2.) เจาะเข้าสู่ระบบ - (Initial Access)

• สคริปต์ Visual Basic รันสคริปต์ PowerShell ที่ฝังอยู่ในหน่วยความจำ
• สคริปต์ PowerShell ดาวน์โหลดและรันสคริปต์ PowerShell อีก 3 ตัว ทำหน้าที่:
  • ตรวจสอบว่าเป็นเครื่องเสมือน (VM) หรือไม่ เพื่อหลีกเลี่ยงการตรวจจับ, ตรวจสอบระบบเบื้องต้น
  • ละเมิดการควบคุมการเข้าถึงของผู้ใช้ (UAC), ปิดการใช้งานการแจ้งเตือนของ Windows และแอปพลิเคชันบนเครื่อง
  • ดาวน์โหลดและรันมัลแวร์ RotBot

3.) ปฏิบัติการ RotBot - (Execution)

• RotBot เป็นมัลแวร์ประเภท QuasarRAT
• ตรวจสอบการป้องกันบนเครื่อง และ รวบรวมข้อมูลระบบ
• เชื่อมต่อกับโดเมนปลอม (ควบคุมโดยผู้โจมตี) เพื่อดาวน์โหลดไฟล์สำหรับเชื่อมต่อกับศูนย์ควบคุม (C2)
• ในแคมเปญนี้ CoralRaider ใช้บอท Telegram เป็นศูนย์ควบคุม

4.) การโจรกรรมข้อมูล - (Exfiltraion)

• หลังเชื่อมต่อกับ Telegram C2, RotBot โหลดโปรแกรมขโมยข้อมูล XClient ลงในหน่วยความจำของเครื่อง
• ปลั๊กอินของ XClient ตรวจสอบโปรแกรมป้องกันไวรัสและ VM
• ขโมยข้อมูลเบราว์เซอร์: คุกกี้, ข้อมูลรับรองความปลอดภัย, ข้อมูลทางการเงิน (บัตรเครดิต)
• ขโมยข้อมูลโซเชียลมีเดีย: Facebook, Instagram, โฆษณาธุรกิจ TikTok, YouTube
• ขโมยข้อมูลแอปพลิเคชัน: Telegram, Discord
• ปลั๊กอินสามารถแคปหน้าจอ บันทึกเป็นไฟล์ PNG
• ข้อมูลที่ขโมย (เบราว์เซอร์, โซเชียลมีเดีย) ถูกบันทึกเป็นไฟล์ข้อความ (TXT) และบีบอัดเป็น ZIP
• ไฟล์ PNG และ ZIP ถูกส่งไปยังศูนย์ควบคุม (C2) ผ่านบอท Telegram

โดยทางทีม  Cisco Talos ได้มีการรวบรวม และเผยแพร่ข้อมูลที่เกี่ยวข้องกับสัญญาณบ่งชี้การบุกรุก (Indicator of Compromised) ของการโจมตีที่เกิดขึ้นเพื่อช่วยเหลือองค์กรต่างๆ ในการป้องกันและตรวจจับภัยคุกคามทางไซเบอร์

‍

แหล่งข้อมูล

CoralRaider targets victims’ data and social media accounts

AlienVault - Open Threat Exchange

Vietnamese Threat Actor Targeting Financial Data Across Asia

Vietnamese threat actor dubbed CoralRaider targets Asian entities with LNK-based malware campaign

IOCs/2024/04/coralraider-targets-socialmedia-accounts.txt at main · Cisco-Talos/IOCs

‍