Исследователи в опубликованном в понедельник отчете заявили, что вьетнамскоговорящие хакеры проводят «крайне скрытную, многоэтапную операцию» по краже информации у тысяч жертв в более чем 62 странах.
Злоумышленники появились в конце прошлого года, но в этом году они усовершенствовали свои методы, применив новые технологии. В конечном итоге SentinelLABS от SentinelOne и Beazley Security выявили 4000 жертв, большинство из которых находились в Южной Корее, США, Нидерландах, Венгрии и Австрии.
«Развитие тактики в ходе недавних кампаний показывает, что противники тщательно отточили свои цепочки развертывания, из-за чего их становится все сложнее обнаруживать и анализировать», — говорится в отчете .
В частности, по данным компаний, атаки, совершенные только в прошлом месяце, продемонстрировали наличие специализированных возможностей для обхода антивирусных продуктов и введения в заблуждение аналитиков центров безопасности.
Мотивы хакеров, по всей видимости, носят финансовый характер.
По данным двух компаний, «украденные данные включают в себя более 200 000 уникальных паролей, сотни записей о кредитных картах и более 4 миллионов собранных файлов cookie браузера, что дает злоумышленникам широкий доступ к счетам и финансовой жизни жертв».
Известно, что хакеры зарабатывают на украденных данных через «экосистему подписки, которая эффективно автоматизирует перепродажу и повторное использование» через платформу обмена сообщениями Telegram. Эти данные продаются другим киберпреступникам, которые затем занимаются кражей криптовалюты или приобретают доступ для проникновения в системы жертв, говорится в отчёте.
Используемый ими информационный троян PaxStealer впервые привлёк внимание аналитиков кибербезопасности после публикации отчёта Cisco Talos о нём в ноябре прошлого года. В Cisco Talos пришли к выводу, что хакеры атаковали правительственные и образовательные организации в Европе и Азии.
Как в ноябрьском, так и в понедельничном отчётах были обнаружены следы использования хакерами вьетнамского языка в кодировке инфокрада. Осенью Cisco Talos не была уверена, были ли злоумышленники связаны с группой CoralRaider , появившейся в начале 2024 года, или с другой вьетнамскоязычной группировкой.
Джим Уолтер, старший исследователь угроз SentinelOne, сообщил CyberScoop, что группа — «давно существующая» и, «судя по всему, из Вьетнама», но «дальнейшее исследование продолжается, и мы воздержимся от дальнейших комментариев относительно [атрибуции] конкретного хакера. Это тот же хакер, на которого указали Cisco Talos и другие».
В отчёте за понедельник, посвящённом деятельности, Уолтер заявил, что атаки «кажутся масштабными и неизбирательными/конъюнктурными. Корпоративные и домашние пользователи, весь спектр «типов пользователей».
Известно, что другие вьетнамские хакеры атаковали активистов внутри страны с помощью шпионского ПО, внедряли вредоносные программы в генераторы искусственного интеллекта или проводили атаки с целью получения выкупа .
Злоумышленники появились в конце прошлого года, но в этом году они усовершенствовали свои методы, применив новые технологии. В конечном итоге SentinelLABS от SentinelOne и Beazley Security выявили 4000 жертв, большинство из которых находились в Южной Корее, США, Нидерландах, Венгрии и Австрии.
«Развитие тактики в ходе недавних кампаний показывает, что противники тщательно отточили свои цепочки развертывания, из-за чего их становится все сложнее обнаруживать и анализировать», — говорится в отчете .
В частности, по данным компаний, атаки, совершенные только в прошлом месяце, продемонстрировали наличие специализированных возможностей для обхода антивирусных продуктов и введения в заблуждение аналитиков центров безопасности.
Мотивы хакеров, по всей видимости, носят финансовый характер.
По данным двух компаний, «украденные данные включают в себя более 200 000 уникальных паролей, сотни записей о кредитных картах и более 4 миллионов собранных файлов cookie браузера, что дает злоумышленникам широкий доступ к счетам и финансовой жизни жертв».
Известно, что хакеры зарабатывают на украденных данных через «экосистему подписки, которая эффективно автоматизирует перепродажу и повторное использование» через платформу обмена сообщениями Telegram. Эти данные продаются другим киберпреступникам, которые затем занимаются кражей криптовалюты или приобретают доступ для проникновения в системы жертв, говорится в отчёте.
Используемый ими информационный троян PaxStealer впервые привлёк внимание аналитиков кибербезопасности после публикации отчёта Cisco Talos о нём в ноябре прошлого года. В Cisco Talos пришли к выводу, что хакеры атаковали правительственные и образовательные организации в Европе и Азии.
Как в ноябрьском, так и в понедельничном отчётах были обнаружены следы использования хакерами вьетнамского языка в кодировке инфокрада. Осенью Cisco Talos не была уверена, были ли злоумышленники связаны с группой CoralRaider , появившейся в начале 2024 года, или с другой вьетнамскоязычной группировкой.
Джим Уолтер, старший исследователь угроз SentinelOne, сообщил CyberScoop, что группа — «давно существующая» и, «судя по всему, из Вьетнама», но «дальнейшее исследование продолжается, и мы воздержимся от дальнейших комментариев относительно [атрибуции] конкретного хакера. Это тот же хакер, на которого указали Cisco Talos и другие».
В отчёте за понедельник, посвящённом деятельности, Уолтер заявил, что атаки «кажутся масштабными и неизбирательными/конъюнктурными. Корпоративные и домашние пользователи, весь спектр «типов пользователей».
Известно, что другие вьетнамские хакеры атаковали активистов внутри страны с помощью шпионского ПО, внедряли вредоносные программы в генераторы искусственного интеллекта или проводили атаки с целью получения выкупа .
