Last Updated on 2024-07-07 05:01 by 門倉 朋宏
ベトナムを拠点とするハッカーグループが、2023年5月以降、アジアおよび東南アジア諸国を標的にマルウェアを用いて貴重なデータを収集していることが観察された。この活動は「CoralRaider」と名付けられ、金銭的な動機によるものである。標的とされた国にはインド、中国、韓国、バングラデシュ、パキスタン、インドネシア、ベトナムが含まれる。攻撃者は被害者の認証情報、財務データ、およびソーシャルメディアアカウントを盗むことに焦点を当てている。使用されるマルウェアには、RotBot(Quasar RATのカスタマイズされたバリアント)とXClientスティーラーが含まれる。また、AsyncRAT、NetSupport RAT、Rhadamanthysなどのリモートアクセストロイの木馬と情報窃取型マルウェアも使用されている。
ビジネスおよび広告アカウントの標的化は、ベトナムからの攻撃者によって特に重視されており、Ducktail、NodeStealer、VietCredCareなどのマルウェアファミリーがアカウントの制御を取るために展開されている。攻撃の手法としては、Telegramを使用して被害者のマシンから盗まれた情報を抜き出し、地下市場で取引して不正な収益を生み出すことが含まれる。
攻撃チェーンはWindowsのショートカットファイル(LNK)から始まり、このファイルが開かれると、攻撃者が制御するダウンロードサーバーからHTMLアプリケーション(HTA)ファイルがダウンロードされ、実行される。その後、組み込まれたVisual Basicスクリプトが実行され、さらに3つのPowerShellスクリプトを順番に実行し、これらのスクリプトはVMおよび分析対策のチェック、Windowsユーザーアクセス制御(UAC)の回避、Windowsおよびアプリケーションの通知の無効化、そしてRotBotのダウンロードと実行を担当する。RotBotはTelegramボットに接続し、XClientスティーラーマルウェアを取得してメモリ内で実行し、最終的にはBrave、Cốc Cốc、Google Chrome、Microsoft Edge、Mozilla Firefox、Operaなどのウェブブラウザからのクッキー、認証情報、財務情報、DiscordおよびTelegramデータ、スクリーンショットの窃取を容易にする。XClientはまた、被害者のFacebook、Instagram、TikTok、YouTubeアカウントからデータを抽出し、Facebookビジネスおよび広告アカウントに関連する支払い方法と権限についての詳細を収集する。
この発見は、BitdefenderがFacebook上でジェネレーティブAIツールを取り巻く話題を利用して様々な情報窃取型マルウェアを推進するマルバタイジングキャンペーンの詳細を公開したことに続くものである。攻撃の出発点は、既存のFacebookアカウントを乗っ取り、Google、OpenAI、Midjourneyなどのよく知られたAIツールを模倣するようにその外観を変更し、プラットフォーム上でスポンサー広告を実行してリーチを拡大することである。
【ニュース解説】
ベトナムを拠点とするハッカーグループが、2023年5月以降、アジアおよび東南アジア諸国を対象に、マルウェアを用いて貴重なデータを盗み出す活動を行っていることが明らかになりました。この活動は「CoralRaider」と名付けられ、金銭的な動機に基づいています。標的とされた国々には、インド、中国、韓国、バングラデシュ、パキスタン、インドネシア、ベトナムが含まれており、攻撃者は被害者の認証情報、財務データ、ソーシャルメディアアカウントを盗むことに焦点を当てています。
使用されるマルウェアには、RotBot(Quasar RATのカスタマイズされたバリアント)とXClientスティーラーが含まれ、これらはビジネスおよび広告アカウントの標的化に特に使用されています。攻撃の手法として、Telegramを介して被害者のマシンから情報を抜き出し、地下市場で取引して不正な収益を生み出す方法が採用されています。
攻撃チェーンは、Windowsのショートカットファイル(LNK)から始まり、このファイルが開かれると、攻撃者が制御するダウンロードサーバーからHTMLアプリケーション(HTA)ファイルがダウンロードされ、実行されます。その後、組み込まれたVisual Basicスクリプトが実行され、さらに3つのPowerShellスクリプトを順番に実行します。これらのスクリプトは、VMおよび分析対策のチェック、Windowsユーザーアクセス制御(UAC)の回避、Windowsおよびアプリケーションの通知の無効化、そしてRotBotのダウンロードと実行を担当します。RotBotは、ウェブブラウザやソーシャルメディアアカウントからのクッキー、認証情報、財務情報の窃取を容易にします。
このような攻撃は、個人や企業にとって重大なセキュリティリスクをもたらします。被害者の財務情報やソーシャルメディアアカウントが不正に利用されることで、金銭的損失や信用の失墜などの被害が発生する可能性があります。また、このような攻撃は、セキュリティ対策の強化や、個人情報の管理方法に対する意識の向上を促すきっかけとなります。
一方で、このニュースは、サイバーセキュリティの専門家や研究者にとって、新たな脅威の動向を理解し、対策を講じるための重要な情報源となります。また、企業や組織は、このような攻撃から自身を守るために、セキュリティ対策の見直しや従業員への教育を強化する必要があります。
長期的には、国際的な協力や情報共有の強化が、このようなサイバー攻撃に対抗するための鍵となるでしょう。また、技術の進歩に伴い、より高度なセキュリティ対策や、AIを活用した防御手法の開発が期待されます。
from Vietnam-Based Hackers Steal Financial Data Across Asia with Malware.
“ベトナム発ハッカーグループ、アジア諸国を狙いデータ窃盗活動「CoralRaider」を展開” への1件のコメント
このニュースは、サイバーセキュリティの分野において、絶え間ない脅威の進化を示す最新の例です。ベトナムを拠点とするハッカーグループ「CoralRaider」による攻撃活動は、金銭的動機に基づくデータ盗難の実例であり、アジアおよび東南アジア諸国を標的にしている点が特に注目されます。このグループが使用するマルウェア、特にRotBotやXClientスティーラーなどは、そのカスタマイズ性と効果的な標的化能力により、ビジネスや広告アカウントに重大なセキュリティリスクをもたらしています。
この事件は、企業や個人が直面しているサイバーセキュリティの課題を明確に浮き彫りにします。特に、Telegramを介した情報の抜き取りや、地下市場での不正な収益化の手法は、情報セキュリティの専門家にとって重要な研究対象となり得ます。このような攻撃方法は、従来のセキュリティ対策を回避する能力を持ち、新たな防御策の開発を促す原動力となります。
また、この事件は、サイバーセキュリティにおける国際的な協力の必要性を改めて強調しています。地域を超えた情報共有や協力体制の構築は、この種の複雑で国境を越