ベトナム語を話すハッカーが、「高度に回避的で多段階の作戦」を実行し、62か国以上で数千人の被害者から情報を盗み出していると、研究者らが月曜日に発表したレポートで述べています。
攻撃者は昨年末に出現しましたが、今年に入って新たな手法で進化しており、SentinelOneのSentinelLABSとBeazley Securityは最終的に4,000人の被害者を特定しました。被害が最も多いのは韓国、アメリカ、オランダ、ハンガリー、オーストリアです。
「これら最近のキャンペーンで進化した手口は、攻撃者が展開チェーンを綿密に洗練させており、検知と解析がますます困難になっていることを示しています」とレポートには記されています。
特に、先月行われた攻撃では、ウイルス対策製品を回避し、セキュリティオペレーションセンターのアナリストを欺くためのカスタマイズされた能力が示されたと、両社は述べています。
ハッカーの動機は、明らかに金銭的なもののようです。
「盗まれたデータには20万件以上のユニークなパスワード、数百件のクレジットカード情報、400万件以上のブラウザクッキーが含まれており、攻撃者は被害者のアカウントや財務情報に十分アクセスできる状態です」と両社は述べています。
ハッカーたちは、盗んだデータを「効率的に再販・再利用を自動化するサブスクリプション型エコシステム」を通じて、Telegramメッセージングプラットフォーム上で金銭化していることが知られています。レポートによると、データは他のサイバー犯罪者に販売され、彼らが暗号資産の窃盗や被害者への侵入アクセスの購入に利用しています。
彼らが使用するインフォスティーラー「PaxStealer」は、Cisco Talosが昨年11月にレポートを公開したことで、サイバーセキュリティアナリストの注目を集めました。Cisco Talosは、ハッカーがヨーロッパとアジアの政府機関や教育機関を標的にしていると結論付けました。
昨年11月のレポートと今回のレポートの両方で、インフォスティーラーのコードにベトナム語が使われている痕跡が確認されています。Cisco Talosは、攻撃者が2024年初頭に現れたCoralRaiderグループに関連しているのか、別のベトナム語話者グループなのかは秋の時点では確信が持てませんでした。
SentinelOneのシニア脅威リサーチャーであるジム・ウォルター氏はCyberScoopに対し、このグループは「長年活動しているアクター」であり、「ベトナムから活動しているように見える」と語りましたが、「それ以上の分析は進行中であり、特定のアクターへのさらなる言及は控えます。Cisco Talosなどが指摘しているのと同じアクターです」と述べています。
月曜日のレポートで取り上げられた活動について、ウォルター氏は標的が「広範かつ無差別/機会的に見える。企業ユーザーも家庭ユーザーも、あらゆる『ユーザータイプ』が含まれる」と述べています。
他のベトナム人ハッカーは、国内の活動家をスパイウェアで標的にしたり、AI生成ツールにマルウェアを仕込んだり、ランサムウェア攻撃を実行したりしていることが知られています。